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出 版 说 明 


高 职高 专 教育 是 我 国 高 等 教育 的 重要 组 成 部 分 ,担负 着 为 国家 培养 并 输送 生产 、 建 
设 、 管 理 . 服 务 第 一 线 高 素质 技术 应 用 型 人 才 的 重任 。 

进入 21 世纪 后 ,高 职高 专 教育 的 改革 和 发 展 呈 现 出 前 所 未 有 的 发 展 势头 ,学 生 规模 
已 占 我 国 高 等 教育 的 半壁 江山 ,成 为 我 国 高 等 教育 的 一 支 重 要 的 生力军 ;办 学 理念 上 ,“ 以 
就 业 为 导向 ?成 为 高 等 职业 教育 改革 与 发 展 的 主旋律 。 近 两 年 来 ,教育 部 召开 了 三 次 产 学 
研 交流 会 ,并 启动 四 个 专业 的 “国家 技能 型 紧缺 人 才 培 养 项 目 ”, 同 时 成 立 了 35 所 示范 性 
软件 职业 技术 学 院 , 进 行 两 年 制 教学 改革 试点 。 这 些 举措 都 表明 国家 正在 推动 高 职高 专 
教育 进行 深层 次 的 重大 改革 ,向 培养 生产 、 服 务 第 一 线 真正 需要 的 应 用 型 人 才 的 方向 

为 了 顺应 当前 我 国 高 职高 专 教育 的 发 展 形势 ,配合 高 职高 专 院 校 的 教学 改革 和 教材 
建设 ,进一步 提高 我 国 高 职高 专 教育 教材 质量 ,在 教育 部 的 指导 下 ,清华 大 学 出 版 社 组 织 
出 版 了 “21 世纪 高 职高 专 规划 教材 ”。 

为 推动 规划 教材 的 建设 ,清华 大 学 出 版 社 组 织 并 成 立 了 “高 职高 专 教育 教材 编审 委员 
会 ”, 旨 在 对 清华 版 的 全 国 性 高 职高 专 教材 及 教材 选 题 进行 评审 ,并 向 清华 大 学 出 版 社 推 
荐 各 院 校 办 学 特色 鲜明 、 内 容 质 量 优秀 的 教材 选 题 。 教 材 选 题 由 个 人 或 各 院 校 推荐 ,经 编 
审 委员 会 认真 评审 ,最 后 由 清华 大 学 出 版 社 出 版 。 编 审 委员 会 的 成 员 皆 来 源 于 教改 成 效 
大 、 办 学 特色 鲜明 、 师 资 实力 强 的 高 职高 专 院 校 . 普 通 高 校 以 及 著名 企业 ,教材 的 编写 者 和 
审定 者 都 是 从 事 高 职高 专 教育 第 一 线 的 骨干 教师 和 专家 。 

编审 委员 会 根据 教育 部 最 新 文件 和 政策 ,规划 教材 体系 ,比如 部 分 专业 的 两 年 制 教 
材 ;* 以 就 业 为 导向 ”, 以 “专业 技能 体系 ”为 主 ,突出 人 才 培 养 的 实践 性 、 应 用 性 的 原则 , 重 
新 组 织 系列 课程 的 教材 结构 ,整合 课程 体系 ;按照 教育 部 制定 的 “高 职高 专 教育 基础 课程 
教学 基本 要 求 ”, 教 材 的 基础 理论 以 “必要 、 够 用 ”为 度 ,突出 基础 理论 的 应 用 和 实践 技能 的 
培养 。 

本 套 规 划 教材 的 编写 原则 如 下 : 

(1) 根据 岗位 群 设置 教材 系列 ,并 成 立 系列 教材 编审 委员 会 ; 

(2) 由 编审 委员 会 规划 教材 .评审 教材 ; 

(3) 重点 课程 进行 立体 化 建设 ,突出 案例 式 教学 体系 ,加 强 实 训 教材 的 出 版 ,完善 教 
学 服务 体系 ; 

(4) 教材 编写 者 由 具有 丰富 教学 经 验 和 多 年 实践 经 历 的 教师 共同 组 成 ,建立 “ 双 师 


es 网 络 管理 与 安全 
型 "编者 体系 。 
本 套 规划 教材 涵盖 了 公共 基础 课 、 计 算 机 、 电 子 信息 机械、 经 济 管理 以 及 服务 等 大 类 
的 主要 课程 ,包括 专业 基础 课 和 专业 主干 课 。 目 前 已 经 规划 的 教材 系列 名 称 如 下 : 


。 公共 基 础 课 ， 机械 类 
公共 基础 课 系 列 机 械 基础 系列 
机 械 设计 与 制造 专业 系列 
”计算 机 类 数控 技术 系列 
守 大 疡 运 册 可 着 二 殉 模具 设计 与 制造 系列 
计算 机 专业 基础 系列 ， 经济 管理 类 
计算 机 应 用 系列 经 济 管 理 基础 系列 
软件 专业 系列 财务 会 计 系 列 
电子 商务 专业 系列 企业 管理 系列 
物流 管理 系列 
人 财政 金融 系列 
电子 信息 基础 系列 国际 商务 系列 
微 电 子 技术 系列 
。 服务 类 
通信 技术 系列 
电气 .自动 化 ,应 用 电子 技术 系列 艺术 设计 系列 


本 套 规 划 教 材 的 系列 名 称 根据 学 科 基 础 和 岗位 群 方向 设置 ,为 各 高 职高 专 院 校 提供 
“自助 餐 ” 形 式 的 教材 。 各 院 校 在 选择 课程 需要 的 教材 时 ,专业 课程 可 以 根据 岗位 群 选择 
系列 ;专业 基础 课程 可 以 根据 学 科 方 向 选择 各 类 的 基础 课 系 列 。 例 如 ,数控 技术 方向 的 专 
业 课 程 可 以 在 “数控 技术 系列 ”选择 ;数控 技术 专业 需要 的 基础 课程 ,属于 计算 机 类 课程 的 
可 以 在 "计算 机 基础 教育 系列 ”和 “计算 机 应 用 系列 ”选择 ,属于 机 械 类 课程 的 可 以 在 “机 械 
基础 系列 ”选择 ,属于 电子 信息 类 课程 的 可 以 在 “电子 信息 基础 系列 ”选择 。 依 此 类 推 。 

为 方便 教师 授课 和 学 生 学 习 , 清 华 大 学 出 版 社 正 在 建设 本 套 教材 的 教学 服务 体系 。 
本 套 教 材 先期 选择 重点 课程 和 专业 主干 课程 ,进行 立体 化 教材 建设 : 加 强 多 媒体 教学 课 
件 或 电子 教案 .素材 库 ,学习 盘 ,学习 指导 书 等 形式 的 制作 和 出 版 ,开发 网 络 课程 。 学 校 在 
选用 教材 时 ,可 通过 邮件 或 电话 与 我 们 联系 获取 相关 服务 ,并 通过 与 各 院 校 的 密切 交流 ， 
使 其 日 至 完善 。 

高 职高 专 教育 正 处 于 新 一 轮 改革 时 期 ,从 专业 设置 .课程 体系 建设 到 教材 编写 ,依然 
是 新 课题 。 希 望 各 高 职高 专 院 校 在 教学 实践 中 积极 提出 意见 和 建议 ,并 向 我 们 推荐 优秀 
选 题 。 反 馈 意 见 请 发 送 到 E-mail: gzgz@tup. tsinghua. edu. cn。 清 华 大 学 出 版 社 将 对 已 
出 版 的 教材 不 断 地 修订 完善 ,提高 教材 质量 ,完善 教材 服务 体系 ,为 我 国 的 高 职高 专 教育 
出 版 优秀 的 高 质量 的 教材 。 


高 职高 专 教育 教材 编审 委员 会 


网 络 管理 与 安全 


网 络 的 应 用 已 经 成 为 当今 社会 日 常生 活 中 不 可 或 缺 的 一 项 重要 内 容 , 而 服务 于 网 络 
应 用 的 网 络 系统 的 管理 作为 一 项 重要 的 技术 ,是 计算 机 网 络 专业 的 一 门 重要 课程 。 对 于 
高 职高 专 网 络 专业 的 同学 来 说 ,不 仅 应 该 学 好 计算 机 网 络 的 理论 知识 ,还 应 该 把 网 络 管理 
实际 操作 能 力 的 培养 作为 学 习 的 重要 内 容 , 这 样 才能 够 胜任 网 络 管理 员 的 工作 。 

本 书 适用 于 那些 对 计算 机 网 络 基础 知识 有 一 定 的 了 解 , 并 且 对 网 络 管理 和 网 络 安全 
管理 缺乏 实际 经 验 的 读者 。 本 书 主要 内 容 包 括 : 网 络 管理 与 网 络 安全 的 概述 .常见 的 网 络 
设备 介绍 .基于 Windows Server 2003 的 网 络 管理 与 服务 .交换 机 和 路 由 器 的 管理 、 网 络 
数据 存储 管理 网 络 安全 管理 。 由 于 作者 长 期 在 广州 航海 高 等 专科 学 校 从 事 计 算 机 网 络 
的 教学 ,并且 在 计算 机 网 络 管理 的 第 一 线 积累 了 丰富 的 经 验 , 所 以 在 编写 本 书 的 过 程 中 本 
着 以 基础 知识 为 先导 ,实际 能 力 培养 为 重点 的 原则 。 我 们 在 本 书 中 没有 过 分 强调 理论 知 
识 的 系统 性 ,而 是 以 网 络 管理 和 网 络 安全 方面 实用 和 实践 能 力 的 掌握 为 主要 目标 ,在 书 中 
尽量 融入 作者 积累 的 实际 经 验 ,主要 章节 都 有 一 定 的 操作 实例 ,还 增加 了 实 训 练习 的 内 
容 , 因 而 操作 性 较 强 。 所 以 本 书 不 仅 可 以 作为 高 职高 专 学 生 的 教材 ,也 可 以 作为 网 络 管理 
员 日 常 工作 的 参考 用 书 。 

特别 指出 ,本 书 中 一 些 网 址 地 址 涉及 企 事业 单位 秘密 , 故 图 中 作 了 涂抹 处 理 。 

本 书 的 第 1.4.5.6 章 由 原 峰 山 编写 ,第 2、3、7 章 由 陈 立 德 编写 。 在 本 书 编写 过 程 中 ， 
广州 航海 高 等 专科 学 校 的 柳 青 教授 给 予 了 深切 的 关怀 和 支持 ,本 书 编辑 认真 负责 的 工作 
也 给 了 我 们 极 大 的 帮助 ,我 们 表示 深切 的 感谢 。 在 本 书 的 使 用 过 程 中 如 果 有 什么 问题 意 
见 和 建议 ,欢迎 读者 通过 电子 邮件 yuanfs@gzhmt. edu. cn 与 我 们 交流 。 


作 者 
2008 年 7 月 
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当今 社会 ,网 络 已 经 成 为 人 们 日 常生 活 中 一 个 很 重要 的 组 成 部 分 。 大 家 不 仅 可 以 上 
网 冲浪 、 获 取信 息 、 增 长 知识 ,还 可 以 网 上 聊天 、 网 上 娱乐 .网 上 购物 、 网 上 看 电影 等 ,网 络 
给 人 们 提供 了 大 量 的 丰富 多 彩 的 信息 ,并 带 来 了 无 穷 的 乐趣 。 但 是 ,从 另 一 个 方面 来 说 ， 
正 是 由 于 网 络 环境 的 高 度 方便 高度 开放 和 高 度 普及 ,也 给 广泛 使 用 的 互联 网 带 来 了 负面 
影响 。 比 如 ,网 络 病毒 的 泛滥 .黑客 人数 的 不 断 增长 .黑客 软件 的 肆意 传播 .网 络 经 济 犯 罪 
和 网 上 不 良 信息 的 传播 等 为 互联 网 带 来 了 不 少 麻烦 ,同时 也 为 网 络 管理 人 员 带 来 了 更 大 
的 挑战 。 因 为 现在 的 网 络 结构 越 来 越 复 杂 , 规 模 越 来 越 大 ,使 用 的 人 也 越 来 越 多 ,所 以 互 
联网 使 网 络 设计 人 员 、 网 络 产 品 制造 者 和 管理 人 员 处 于 两 难 的 境地 。 一 方面 ,网 络 必须 尽 
可 能 多 地 为 用 户 提供 更 多 更 好 的 网 络 服务 产品 和 服务 内 容 , 这 就 要 求 面 对 更 多 的 用 户 需 
要 ,必须 有 更 多 的 开放 性 。 另 一 方面 ,开放 度 越 高 ,服务 越 多 , 带 来 的 安全 隐患 就 越 高 ,给 
网 络 管理 人 员 提 出 的 要 求 和 挑战 就 越 高 。 因 此 , 既 要 使 网 络 运行 通畅 可 靠 ,并 为 用 户 提供 
更 多 高 质量 的 服务 ,又 要 使 其 安全 稳定 ,这 是 每 个 网 络 管理 人 员 面 临 的 重要 任务 。 


1.1 网 络 管理 的 范围 与 任务 


1.1.1 网 络 管理 的 范围 

网 络 管理 涉及 的 内 容 较 多 ,一 个 提供 网 络 服务 的 系统 包括 各 种 软件 硬件 的 管理 和 维 
护 , 各 种 网 络 服务 的 管理 及 系统 运行 状态 的 管理 。 简 单 地 概括 一 下 ,可 按 如 下 方式 划分 管 
理 范 围 。 


1. 从 网 络 系统 管理 范围 划分 

一 个 较为 完善 的 网 络 系统 ,有 大 量 的 软 硬 件 在 其 中 运行 ,从 被 管理 的 软 硬 件 来 划分 是 
一 种 方法 。 常 规 的 硬件 包括 网 络 线路 系统 、 交 换 机 、 集 线 器 、 路 由 器 防火墙、 服务 器 、 
UPS、 入 侵 检测 系统 ,海量 存储 设备 .网络 测 试 设备 等 ,还 有 配套 的 管理 PC 机 、 打 印 机 、 扫 
描 仪 等 。 硬 件 设备 的 完好 是 网 络 运行 的 基础 ,所 有 设备 首先 要 求 性 能 指标 能 够 满足 所 构 
造 的 网 络 的 工作 需求 ,如 果 达 不 到 就 有 可 能 使 网 络 通信 不 畅 ,性 能 下 降 , 导 致 用 户 不 满 。 
另外 ,硬件 必须 具有 良好 的 维护 性 ,一 方面 网 管 人 员 良 好 的 日 常 维护 可 提高 系统 性 能 , 另 
一 方面 还 必须 具备 非 正 常情 况 下 系统 尽快 恢复 正常 的 能 力 。 


软件 管理 包括 的 内 容 非常 多 ,主要 包括 以 下 几 类 : 

Qa 一 般 包括 系统 软件 的 管理 和 使 用 ,如 Windows 2003 Server、UNIX、Linux 等 网 络 
操作 系统 对 网 络 的 管理 是 否 正常 ,是否 发 挥 到 最 佳 状态 。 

@ 应 用 软件 的 管理 和 使 用 ,如 计 费 系统 、 网 管 系统 .人 侵 检测 系统 等 。 

@ 配置 软件 ,包括 交换 机 、 路 由 器 .服务 器 等 为 网 络 运行 而 做 的 配置 文件 。 

@ 服务 软件 ,如 邮件 系统 、Web 服务 器 等 各 种 为 用 户 提供 网 络 服务 的 软件 。 


2. 从 网 络 资源 的 管理 划分 

对 于 网 管 人 员 来 说 ,在 网 络 系统 中 涉及 的 资源 很 多 ,前面 提 到 的 软 硬 件 都 属于 资源 。 
一 般 较 大 型 的 网 络 以 交换 机 为 主要 间隔 进行 层次 划分 的 话 ,包括 核心 层 、 汇 聚 层 , 接 入 层 
三 个 层次 ,这 也 是 管理 范围 所 划 定 的 三 个 主要 大 节点 。 接 入 层 以 下 ,直接 面 对 终 端 用 户 的 
是 最 小 的 节点 。 监 控 管 理 到 最 终 节 点 是 网 管 人 员 希 望 做 到 的 ,但 是 一 般 情况 下 很 难 实现 。 
所 以 ,从 最 高 层 的 核心 层 到 第 二 层 的 汇聚 层 ,要 求 网 管 中 心 能 够 实现 管理 和 监控 。 如 果 网 
络 能 够 在 各 个 层次 上 (直至 接 人 层 ) 都 安装 有 支持 网 管 的 交换 机 (一 般 以 支持 SNMP 协 
议 , 即 简单 网 络 管理 协议 为 基本 要 求 ) ,就 可 以 实现 网 络 全 方位 的 各 种 软 硬 件 资源 的 管理 
和 监控 。 当 然 还 要 有 相应 的 管理 软件 的 支持 。 


3, 从 网 络 维护 的 角度 划分 

网 络 的 管理 从 严格 意义 上 讲 是 在 网 络 规划 、 网 络 建设 ,网络 运行 维护 和 网 络 服务 的 全 
过 程 都 要 考虑 到 的 。 因 为 一 个 网 络 从 规划 开始 就 必须 全 盘 考 虑 ,比如 采用 什么 拓扑 结构 、 
购置 什么 级 别 的 网 络 设备 .规划 网 络 提供 什么 服务 等 都 不 能 忽视 。 当 网 络 建 好 后 ,以 哪 种 
方式 对 系统 管理 的 内 容 和 对 象 进行 管理 ,如 何 保证 系统 的 维护 状态 处 于 最 佳 , 都 是 网 管 人 
员 必 须 考虑 的 问题 。 

但 是 ,无论 怎样 划分 网 络 管理 ,从 具体 的 任务 和 功能 上 看 都 大 致 相同 。 
1.1.2 网 络 管理 的 任务 

网 络 管理 是 保证 网 络 安全 可靠 ,高效 和 稳定 运行 的 必要 手段 ,是 网 络 系统 中 不 可 缺 
少 的 重要 组 成 部 分 , 它 涉及 网 络 资源 的 规划 组 织 . 监 控 和 计 费 等 各 个 方面 。 在 网 络 管理 技 
术 的 研究 ,发展 和 标准 化 方面 ,Internet 体系 结构 委员 会 (IAB) 和 国际 标准 化 组 织 (ISO) 
等 都 做 了 大 量 卓有成效 的 工作 。 早 在 20 世纪 70 年 代 末 ISO 在 提出 OSI( 开 放 系 统 互联 ) 
模型 的 同时 ,就 提出 了 网 络 管理 标准 的 框架 , 即 开放 互联 管理 框架 (ISO 7498-4) ,并 制定 
了 相应 的 协议 标准 , 即 公 共管 理 信息 服务 和 公共 管理 信息 协议 CMIS/CMIP。 由 于 OSI 
的 网 络 管理 框架 及 其 协议 的 结构 和 功能 非常 复杂 ,目前 还 没有 根据 它 而 生产 的 标准 商品 
化 网 管 系统 的 支持 ,不 过 它 确 实 定 义 了 网 络 管理 较为 完美 的 模型 ,而 目前 商品 化 的 大 多 数 
网 管 软件 都 参考 了 这 个 模型 。 本 书 对 网 络 管理 功能 模型 的 描述 主要 以 OSI 模型 为 主 。 
在 OSI 网 络 管理 框架 模型 中 ,基本 的 网 络 管理 功能 被 分 为 5 个 功能 域 , 分 别 完成 不 同 的 
网 络 管理 功能 。OSI 网 络 管理 的 功能 域 , 或 者 说 网 络 管理 的 功能 包括 下 面 的 5 个 方面 。 

1. 配置 管理 (Configuration Management) 

主要 指 网 络 配置 ,将 网 络 中 各 设备 的 功能 .设备 之 间 的 连接 关系 和 工作 参数 进行 有 效 
配置 。 这 是 网 络 管理 最 基本 的 功能 ,也 是 保证 网 络 运行 的 基本 条 件 , 可 以 说 没有 对 网 络 系 
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统 有 效 的 配置 ,就 没有 网 络 正常 的 运行 环境 。 它 包括 定义 网 络 、 初 始 化 网 络 、 配 置 网 络 、 控 
制 和 检测 网 络 中 被 管 对 象 的 功能 集合 ,有 对 象 管理 ,状态 管理 和 关系 管理 三 个 标准 ,其 目 
的 是 使 网 络 性 能 达到 最 优 。 网 络 管理 应 具有 随 着 网 络 变化 而 对 网 络 进行 再 配置 的 功能 。 

配置 管理 的 主要 内 容 有 以 下 几 项 : 

@ 设置 被 管理 系统 或 管理 对 象 的 参数 。 

@ 更 改 系统 配置 ,初始 化 或 开启 /关闭 某 些 资源 。 

@ 收集 能 够 反映 被 管理 系统 状态 的 数据 ,判断 系统 的 工作 状态 及 其 变化 ,并 根据 这 
些 变 化 采取 相应 的 对 策 。 

@ 改变 被 管理 系统 或 管理 对 象 的 配置 。 


2. 故障 管理 (Fault Management) 

网 络 系统 再 完善 ,也 有 发 生 故 障 的 可 能 ,因此 网 络 管理 的 另 一 个 功能 就 是 使 管理 中 心 
能 够 实时 监测 网 络 中 的 故障 ,并 能 对 故障 原因 做 出 快速 诊断 和 定位 ,从 而 能 够 对 故障 进行 
排除 或 能 够 对 网 络 故障 进行 快速 隔离 ,以 保证 网 络 能 够 连续 可 靠 地 运行 。 故 障 管理 主要 
包括 故障 的 检测 .定位 及 恢复 等 功能 。 

故障 管理 的 主要 内 容 有 以 下 几 项 : 

Q@ 实时 监测 网 络 ,提供 网 络 实时 状态 报告 。 

@ 出 现 故障 时 能 及 时 报警 。 

@ 尽快 找 出 故障 点 ,也 称 故障 定位 ,迅速 确定 故障 部 位 。 

@ 判断 故障 原因 。 

@ 制定 故障 排除 方案 。 

@ 实施 故障 排除 作业 ,尽快 恢复 网 络 正常 运行 。 


3. 计 费 管理 (Accounting Management) 

计 费 管理 主要 是 记录 用 户 使 用 网 络 的 情况 和 统计 不 同 线路 .不 同 资源 的 利用 情况 。 
一 方面 它 可 以 估算 出 用 户 使 用 网 络 资源 的 状况 及 可 能 需要 的 费用 和 代价 , 另 一 方面 可 以 
对 这 些 数据 进行 分 析 ,估计 其 对 整个 网 络 的 影响 ,这 对 一 些 公共 商用 网 络 尤 为 重要 。 网 络 
管理 员 还 可 以 规定 用 户 可 使 用 的 最 大 费用 、 最 大 流量 .最 大 速率 等 参数 ,从 而 限制 用 户 过 
多 地 占用 网 络 资源 ,这 从 另 一 个 方面 可 以 提高 网 络 的 效率 。 

计 费 管理 的 主要 内 容 有 以 下 几 项 : 

@ 设置 不 同 用 户 的 缴费 费用 缴费 方式 和 策略 。 

@ 收集 、 汇 总 、 分 析 计 费 信息 。 

@ 交 费 用 户 的 分 类 管理 。 

@ 提取 费用 计算 所 需 的 数据 ,根据 资源 使 用 情况 调整 收费 标准 。 

通知 用 户 缴费 ,并 为 用 户 提供 计 费 查询 服务 。 


4. 性 能 管理 (Performance Management) 

这 是 以 提高 网 络 性 能 为 准则 的 管理 ,其 目的 是 保证 在 使 用 最 少 的 网 络 资源 和 具有 最 
小 网 络 时 延 的 前 提 下 ,网 络 提供 可 靠 .连续 的 通信 能 力 。 它 具有 监视 和 分 析 被 管理 网 络 及 
其 所 提供 服务 的 性 能 机 制 的 能 力 , 分 析 的 结果 可 能 会 触发 某 个 诊断 测试 过 程 或 重新 配置 


网 络 以 维持 网 络 的 性 能 。 

性 能 管理 的 主要 内 容 有 以 下 几 项 : 

@ 对 网 络 中 的 管理 对 象 进行 监测 ,收集 与 网 络 性 能 相关 的 数据 。 

@ 记录 、 统 计 、 分 析 收 集 到 的 网 络 性 能 数据 ,维护 网 络 关键 数据 。 

@ 对 超出 正常 范围 的 网 络 性 能 数据 能 发 出 性 能 报警 .报告 事件 性 质 等 。 

@ 将 当前 收集 到 的 数据 与 历史 数据 比较 ,以 此 来 分 析 并 预测 网 络 性 能 变化 趋势 。 

@ 根据 数据 分 析 结 果 ,评估 网 络 性 能 状态 和 监测 模型 ,优化 网 络 结构 .配置 和 性 能 。 

@ 用 网 络 监视 工具 监测 网 络 性 能 ,以 获取 网 络 信息 ,主要 包括 事务 日 志 、 资 源 使 用 统 
计 、 性 能 统计 等 。 

5. 安全 管理 (Security Management) 

一 是 为 了 使 网 络 用 户 和 网 络 资源 不 被 非法 使 用 或 破坏 ,二 是 确保 网 络 管理 系统 本 身 
不 被 非法 访问 ,包括 安全 告警 报告 功能 、 安 全 审计 跟踪 功能 以 及 访问 控制 的 客体 和 属性 三 
个 标准 。 

安全 管理 的 主要 内 容 有 以 下 几 项 : 

Q@ 身份 识别 和 身份 认证 ,规定 身份 识别 的 过 程 。 

@ 访问 控制 方式 和 策略 的 确定 。 

@ 加 密 方法 和 密 钥 管 理 。 

@ 安全 日 志 的 维护 和 检查 。 

@ 各 种 攻击 的 防范 。 

@ 病毒 的 防范 .检查 和 清除 。 

通常 一 个 具体 的 网 络 管理 系统 并 不 一 定 都 包含 网 络 管理 的 五 大 功能 ,不 同 的 系统 可 
能 会 选取 其 中 不 同 的 几 个 功能 组 合 加 以 实现 ,但 几乎 每 个 网 络 管理 系统 都 会 包括 故障 管 
理 的 功能 。 

在 建立 网 络 管理 系统 时 .应 首先 确定 自身 的 网 管 需 求 , 其 次 根据 需求 确定 网 管 的 管理 
方式 ,选择 合适 的 网 络 设备 和 网 管 软件 ,最 终 构 成 性 能 价格 比比 较 合适 的 网 络 管理 平台 。 


1.2 网 络 管理 员 的 素质 与 职责 


1.2.1 网 络 管理 员 的 素质 

一 个 好 的 网 络 管理 员 必 须 真 正 爱好 计算 机 网 络 技术 ,并 有 工作 责任 心 和 良好 的 服务 
意识 ,这 是 做 好 网 络 管理 工作 的 基本 条 件 。 除 此 之 外 ,还 要 有 扎实 稳固 的 计算 机 网 络 知 
识 , 较 强 的 实际 动手 能 力 ,细致 人 微 的 观察 能 力 和 分 析 判 断 能 力 ,并 且 要 有 一 定 的 应 变 能 
力 。 因 为 网 络 运行 环境 面 对 的 网 络 设备 众多 ,也 比较 复杂 ,在 管理 过 程 中 遇 到 的 问题 也 很 
多 ,有 的 问题 需要 足够 的 经 验 才 能 解决 ,有 的 问题 则 需要 网 管 员 具 有 较 高 的 应 变 能 力 。 

网 络 管理 人 员 的 基本 素质 包括 以 下 几 项 : 

吕 工作 责任 心 。 没 有 责任 心 就 干 不 好 网 络 管理 工作 。 

@ 足够 的 知识 结构 。 要 求 网 络 管理 员 应 该 熟练 掌握 服务 器 的 安装 ,配置 和 各 种 服务 
的 实现 方式 ;掌握 各 种 网 络 设备 的 性 能 和 基本 配置 方法 ;了 解数 据 库 的 基本 操作 ;对 常用 
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的 网 络 操作 系统 和 应 用 软件 熟练 使 用 ;掌握 系统 集成 知识 ;了 解 网 络 规划 技术 ;能 通过 对 
网 络 设备 的 配置 实现 对 整个 网 络 的 全 面 管理 。 

@ 足够 的 管理 能 力 。 除 了 对 设备 充分 的 了 解 以 外 ,网 管 员 还 应 具备 较 好 的 面 对 实 际 
问题 的 分 析 判 断 能 力 .能 够 通过 观察 网 络 运 行 的 现状 找 出 问题 ,解决 问题 。 

@ 具备 一 定 的 英语 基础 ,因为 许多 网 络 设备 的 管理 和 配置 要 求 必须 掌握 一 定 的 计算 
机 英语 。 
1.2.2 网 络 管理 员 的 职责 

网 络 管理 员 的 职责 包括 完成 网 络 管理 任务 所 规定 的 管理 内 容 , 实 现 对 系统 的 日 常 监 
控 故障 诊断 和 排除 .数据 的 有 效 存 储 ( 备 份 ) 和 恢复 等 。 由 于 网 络 管理 涉及 的 内 容 太 多 ， 
一 般 不 可 能 要 求 每 个 网 络 管理 员 胜 任 所 有 的 工作 ,大 多 是 有 所 分 工 ,比如 有 的 负责 计 费 管 
理 , 有 的 负责 网 络 安全 ,有 的 负责 配置 管理 等 。 但 是 不 管 怎样 ,所 有 的 管理 内 容 都 包括 在 
网 络 管理 的 五 大 功能 范围 之 内 ,因此 ,网 络 管理 的 职责 就 是 五 大 功能 所 规定 的 内 容 的 细 化 
和 延伸 。 


1.3 思考 和 练习 
1. 请 简 述 网 络 管理 的 任务 。 


2. 网 络 安全 管理 的 主要 内 容 有 哪些 ? 
3. 网 络 管理 员 的 基本 素质 有 哪些 ? 


1.4 实 训练 习 


1. 根据 网 络 管理 的 内 容 参 观 网 络 中 心机 房 , 了 解 网 络 管理 员 的 职责 和 任务 。 
2. 参观 网 络 中 心机 房 , 了 解 本 单位 网 络 拓扑 结构 ,学 习 网 络 管理 的 各 项 规章 制度 。 
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2.1 接 人 Internet 的 网 络 拓扑 结构 


如 图 2-1 所 示 是 一 所 典型 的 高 校 网 络 拓扑 图 。 下 面 从 网 络 部 署 及 配置 方面 对 其 进行 
详细 分 析 ,从 而 了 解 常用 的 网 络 设备 和 它们 的 功能 。 

该 高 校对 外 有 两 个 出 口 , 一 个 出 口 通过 20Mbps 光纤 连接 中 国教 育 与 科研 计算 机 
网 (简称 中 国教 育 科 研 网 ) ,对 于 广东 省 高 校 而 言 ,通常 先 通过 光纤 连接 广东 省 高 教 厅 , 然 
后 再 连接 中 国教 育 科 研 网 华南 节点 (该 节点 在 华南 理工 大 学 ); 另 一 个 出 口 通过 100Mbps 
的 光纤 连接 Internet, 可 通过 当地 的 线路 租用 运营 商 接 入 ,比如 通过 中 国电 信和 或 中 国联 通 
的 光纤 接 入 。 

很 多 高 校 在 把 校园 网 接 入 Internet 初期 ,可 能 会 采用 64Kbps DDN 专线 、128Kbps 
微波 和 10Mbps 光纤 等 接 入 方式 ,这 些 接 入 方式 比较 而 言 ,采用 光纤 接 入 性 能 最 为 高 速 和 
稳定 。 

在 该 高 校 的 内 部 ,主干 网 主要 采用 基于 1000Mbps 和 万 兆 的 光纤 链 路 组 建 的 高 速 局 
域 网 ,由 于 用 户 数量 大 ,为 降低 广播 风暴 造成 的 线路 质量 下 降 , 局 域 网 通过 划分 多 个 
VLAN 来 提高 线路 质量 。 为 了 把 校园 网 和 中 国教 育 科 研 网 与 Internet 互联 ,在 校园 网 的 
出 口 部 署 了 一 台 CISCO 2691 路 由 器 。 该 路 由 器 对 外 有 两 个 电 口 分 别 连 接 中 国教 育 科 研 
网 和 Internet ,对 内 则 由 一 个 电 口 连接 防火 墙 ,这 里 使 用 的 是 易 尚 防火 墙 。 其 中 ,在 路 由 
器 上 主要 设置 静态 路 由 策略 和 访问 策略 。 比 如 对 于 高 校 而 言 ,如 果 用 户 要 访问 教育 网 内 
的 站 点 , 则 直接 从 教育 网 的 出 口 路 由 出 去 ,因为 通过 教育 网 访问 系统 内 的 教育 资源 是 免费 
的 ;而 访问 其 他 的 收费 站 点 则 通过 采用 包月 的 电信 接口 出 去 ,这 样 既 提 高 了 访问 速度 ,也 
节省 了 用 户 每 个 月 为 数据 流量 要 支付 的 费用 。 如 果 用 户 要 访问 教育 网 内 的 站 点 ,通过 教 
育 网 的 线路 直接 访问 速度 快 ,通过 电信 的 线路 访问 则 速度 比较 慢 一 些 ;同样 ,要 访问 电信 
的 站 点 ,路 由 器 会 引导 用 户 从 电信 的 出 口 出 去 ,而 不 通过 教育 网 的 出 口 ,因为 直接 通过 电 
信和 的 线路 访问 Internet 速度 比较 快 ,而 如 果 绕 过 教育 网 再 访问 Internet 则 速度 会 慢 很 多 。 
所 以 为 了 教学 、 科 研 和 高 校 之 间 交 流 的 需要 ,高 校 一 般 均 有 2 个 出 口 。 比 如 在 广州 市 的 高 
校 , 多 数 采 用 一 个 出 口 通过 连接 广东 省 高 教 厅 接 人 中 国教 育 科 研 网 , 另 一 个 出 口 通过 电信 
链 路 连接 Internet, 有 些 高 校 由 于 性 质 的 不 同 还 会 接 和 人 其 他 的 网 络 ,比如 某 些 军事 院 校 还 
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S0/0 接 入 公 网 出 口 
S1/0: 接 内 网 


S0/1 接 入 
教育 网 出 口 CISCO 


2691 |100M 
桥接 , 仅 允许 

WWW,FTP, 

SMTP,POP3 通过 


Piss 
WWW SERVER 
CISCO 4506 | 

DHCP 服 务 


2M SHDSL 线路 A 校 


S0/0: 接 A 校区 B 校 区 


S011:B 校 | 


注 : @ 为 光纤 链 路 标记 
图 2-1 某 高 校 网 络 架构 拓扑 图 


会 接 入 军事 网 。 高 校 校 园 网 首先 接 入 省 教育 厅 , 便 于 教育 网 的 视频 会 议和 电子 公文 交换 
系统 的 实施 ,不 仅 方便 了 高 校 之 间 的 科研 交流 ,也 可 以 利用 高 教 厅 提 供 的 基于 教育 网 的 各 
种 资源 提高 教学 和 科研 质量 ,使 高 校 在 信息 化 设施 之 上 开展 更 多 的 工作 ,方便 了 沟通 , 提 
高 了 工作 效率 。 

对 于 高 校 用 户 而 言 , 在 接 入 中 国教 育 科 研 网 之 前 .要 向 中 国教 育 科研 网 的 管理 机 构 申 
请 对 应 的 域名 和 IP 地 址 。 比 如 广州 航海 高 等 专科 学 校 在 中 国教 育 科研 网 申请 的 域名 是 
gzhmt. edu. cn, 位 于 该 顶级 域名 之 下 的 域名 则 由 广州 航海 高 等 学 校 管理 和 维护 。 为 方便 
教学 服务 的 开展 和 信息 化 的 发 展 ,该 院 校 在 中 国教 育 科研 网 申请 了 8 个 C 类 的 IP 地址， 
为 学 校 日 后 信息 化 工作 的 开展 提供 了 支持 。 有 关 高 校 域名 的 注册 情况 ,可 以 在 中 国教 育 
科研 网 查询 。 

打开 中 国教 育 科 研 网 的 主页 ,通过 点 击 * 网 络 服务 ”区域 中 的 “NIC 服务 ” 超 链 接 , 即 
可 打开 中 国教 育 科研 网 的 网 络 信息 中 心 主页 。 中 国教 育 科 研 网 的 网 络 信息 中 心 CERNIC 
是 一 个 全 国 范围 的 Internet 资源 注册 管理 部 门 ,负责 全 网 的 IP 地 址 分 配 ,域名 注册 ,提供 


网 络 资源 信息 服务 和 网 络 技术 支持 ,定期 发 布 CERNET 的 最 新 进展 。 通 过 信息 中 心 主 
页 目录 服务 中 的 Whois Query( 如 图 2-2 所 示 ) ,可 以 查询 关于 中 国 各 个 高 校 的 域名 注册 
情况 。 在 域名 搜索 关键 字 文本 框 中 输入 广州 航海 高 等 专科 学 校 的 域名 gzhmt. edu. cn ,就 
可 以 查 到 该 学 校 的 域名 注册 信息 (如 图 2-3 所 示 )。 在 Whois Query 提供 的 信息 中 可 以 看 


hois Query - Wicrosoft Internet Explorer 
文件 四 编 加 中 ”查看 WD 收 戌 ) 工具 0 帮助 如 Ea 
@ 碍 -日 国 固 的 村 次 mx 人 @| 人 -各 回 - 口 网 煞 国 省 

地 址 四 | 国 http: /rr nic cds caycei-binyreeyvtherotj < 坎 入 关 刍 亲 下拉 捷 过 国 | 加 WW 六 


Cocge 


Whois Query cERSNE | 


对 象 关键 字 查 询 Directory Services 


on accurate entity keys 


可 以 搜索 该 系 引 ， 请 键入 要 搜索 的 关键 字 :ezhat. edu- on 


请 输入 WHOIS 索引 关键 字 . 
It should be domain, network names registered in CERNIC. Examples are: 


xxx. edu en (eg. seuedu cn natches the donain of Southeast University) 
xxx-en (eg，cerbkb-cn matches CERNET backbone network) 
Sr, py wx 0 (og, 202. 113.0.0 matches CERNET backbone retwork) 


图 2-2 Whois Query 页 面 


.edu. cn — Microsoft Internet Explorer 


文件 于 编辑 忆 ) Exo 工具 WD 大 胞 人 D 
四 二 -加 - 国 国人 多 用 sr 次 emz 如 日- 全 回 - 山 网 羽 目 沁 


起 正 加 )| 科 http: /rwww_nic edu cny cgi-bin/regyotherohjYgzhat ada en ETETITTIT | > 用 一 草 


Whois Query 


对 象 关键 宁 查询 Directory Services 


on acourate entity keys 


Whois gzhmt.edu.cn ? 


Guangzhou Warit ine Collsgs (PON 
#101, Hone Shan Sar Lu Road，Euangpa District 


uangzhou 6D 510725 
china 


Donain Nane: BZHNT.EDU.CN 
Hotworke Nianbors 211.66.64.0 - 211.65.71.255 


Adninistrative Contact: 
Liv , Qing (QL4-CER) gzqlivscut. edu cn 
486-20-82330936 ext，2311 

Technical Contact: 

Lin , Fuhw (FL3-CER) gzfhlingsout. edu en 
+86-020-37110596 


Rezord last updated on 19991203 
Nevard ereared on 19991203 


Donain Servars in listad order: 


图 2-3 通过 Whois Query 查询 域名 注册 信息 
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到 该 学 校 的 详细 地 址 和 当初 注册 该 域名 服务 的 管理 人 员 的 联系 方式 ,以 及 该 学 校 应 该 建 
立 的 域名 服务 器 的 IP 地 址 。 同 样 ,在 搜索 关键 字 文本 栏 中 输入 该 学 校 的 一 个 IP 地 址 , 则 
可 以 看 到 该 院 校 申 请 的 IP 地 址 的 范围 (如 图 2-4 所 示 )。 可 以 看 到 ,该 学 校 申请 了 8 个 C 
类 的 IP 地 址 ,IP 地 址 范围 从 211. 66. 64.0 到 211. 66.71.255, 这 些 IP 地 址 都 由 广州 航海 
高 等 专科 学 校 使 用 ,作为 用 户 应 该 每 月 向 中 国教 育 科 研 网 交纳 相应 的 IP 地 址 管理 费 。 


ET [3 
@ 避 -日 - 国 固 纹 开交 tmx 如 | 全 - 避 国 - 口 网 ” 


入 http: /fer nic edu cn/ cei-bin/res/otherobj?211.66.67.133 


Whois Query 
对 象 关键 字 查 询 Directory Services 


on accurats entity keys 


Whois 211. 66. 67. 133 ? 
广州 航海 高 等 专科 学 校 (NET) 
Guangzhou Haritime College 


£2fhlinscut. edu cn 


ecord 1ast updated on 1999:118 
ecord created on 19991118 


图 2-4 通过 IP 查 询 域名 注册 信息 


在 网 络 的 出 口 ,为 提高 整个 校园 网 的 安全 性 ,该 院 校 部 署 了 一 台 高 性 能 的 防火 墙 ,以 
对 内 部 网 进行 保护 。 该 防火 墙 允许 外 部 用 户 以 允许 的 方式 访问 学 校 提供 的 对 外 公开 的 服 
务 ,而 禁止 外 部 用 户 访问 没有 授权 的 服务 。 通 常 ,在 防火 墙 上 ,管理 员 会 制定 如 下 的 规则 ， 
比如 允许 外 部 用 户 访问 学 校 的 Web、FTP、Mail 服务 ,而 对 于 只 为 学 校内 部 用 户 提供 使 用 
的 OA 服务 .教务 管理 系统 ,教师 上 课 评测 系统 等 ,外 部 用 户 就 无 法 访问 。 

在 校园 网 核心 位 置 部 署 的 核心 交换 机 CISCO 4506, 是 整个 校园 网 的 中 心 枢纽 。 该 核 
心 交换 机 提供 了 1000Mbps 的 以 太 网 接口 ( 即 通常 所 说 的 电 口 ) 和 光纤 接口 ( 即 通常 所 说 
的 光 口 )。 学 校 的 其 他 各 栋 办 公 楼 .教学 楼 .学 生 宿舍 楼 等 通过 1000Mbps 单 模 和 多 模 光 
纤 接 入 核心 交换 机 ,而 位 于 近 距 离 的 服务 器 群 则 通过 1000Mbps 光纤 和 1000Mbps 双 绞 
线 由 一 台 交 换 机 汇聚 之 后 接 入 核心 交换 机 。 由 于 整个 学 校 的 用 户 数量 庞大 ,在 交换 机 上 
需要 划分 VLAN, 从 而 降低 每 个 子 网 的 广播 风暴 范围 .提高 了 网 络 性 能 。 

任何 一 台 计 算 机 要 访问 Internet, 必 须 具有 公有 的 IP 地 址 ,很 多 单位 为 了 实现 每 台 
用 户 计算 机 不 经 过 任何 IP 地址 转换 而 直接 访问 Internet, 需 要 申请 大 量 的 IP 地 址 。 然 而 
在 信息 化 日 益 发 展 的 今天 ,再 多 的 IP 地 址 也 无 法 满足 日 益 增 多 的 用 户 计 算 机 的 接 人 需 


区 


求 ,为 了 解决 用 户 计算 机 数量 激增 而 公有 IP 地 址 不 足 的 情况 ,现在 很 多 用 户 都 通过 NAT 
的 模式 来 实现 。 网 络 地 址 翻译 (NAT) 的 作用 是 将 内 网 的 私有 IP 转换 为 外 网 的 公有 IP。 
关于 NAT 的 内 容 会 在 后 面 的 章节 详细 介绍 。 

防火 墙 的 部 署 模式 通常 可 采用 透明 模式 .NAT 模式 和 混合 模式 。 采 用 透明 的 部 署 
模式 ,不 用 修改 用 户 原 有 的 设备 配置 参数 ,部 署 比较 简单 。 采 用 NAT 的 部 署 模式 ,通常 
把 网 络 分 为 三 个 区 域 : 内 网 、 外 网 和 DMZ(Demilitarized Zone: 停火 区 ) 区 域 。 内 部 区 域 
通常 是 指 企业 内 部 网 络 或 者 企业 内 部 网 络 的 一 部 分 , 它 是 互联 网 络 的 信任 区 域 , 即 受到 了 
防火 墙 的 保护 。 外 部 区 域 通常 指 Internet 或 者 非 企 业内 部 网 络 。 它 是 互联 网 络 中 不 被 信 
任 的 区 域 , 当 外 部 区 域 想 要 访问 内 部 区 域 的 主机 和 服务 时 ,通过 防火 墙 就 可 以 实现 有 限制 
的 访问 。DMZ 区 域 是 一 个 隔离 的 网 络 或 几 个 网 络 , 位 于 DMZ 区 域 中 的 主机 或 服务 器 被 
称 为 煲 垒 主机。 一 般 在 DMZ 区 域内 可 以 放置 Web 服务 器 、Mail 服务 器 等 。DMZ 区 域 
对 于 外 部 用 户 通常 是 可 以 访问 的 ,这 种 方式 让 外 部 用 户 可 以 访问 企业 的 公开 信息 ,但 不 允 
许 他 们 访问 企业 的 内 部 网 络 。 

在 学 校 主机 用 户 数 量 巨 大 的 情况 下 ,对 于 终端 的 管理 给 网 络 管理 者 提出 了 很 多 比较 
困难 的 问题 。 在 网 络 规模 日 益 扩 大 和 应 用 愈 来 愈 多 的 情况 下 ,需要 更 加 完备 和 成 熟 的 方 
式 来 对 整个 网 络 进行 管理 。 比 如 对 于 学 校 IP 地 址 的 管理 就 是 一 个 需要 慎重 考虑 的 问题 。 

在 很 多 大 学 里 ,对 于 IP 地 址 的 管理 都 曾经 采用 过 DHCP 的 方式 。 在 核心 的 交换 机 
上 做 VLAN 的 划分 可 以 提高 局 域 网 的 性 能 , 当 位 于 不 同 的 VLAN 内 的 计算 机 要 连接 到 
网 络 上 时 ,需要 获得 一 个 合法 的 IP 地 址 。 此 时 ,需要 部 署 一 台 DHCP 服务 器 ,该 服务 器 
对 所 有 请 求 IP 地 址 的 计算 机 进行 IP 地 址 和 DNS 服务 器 IP 地 址 的 分 配 。DHCP 服务 器 
在 Windows 平台 和 Linux 平台 下 都 非常 容易 架设 ,在 本 书 的 后 面 将 详细 介绍 在 
Windows 平台 下 的 部 署 方式 。 

很 多 高 校 都 存在 多 个 校区 ,为 了 把 分 布 在 不 同 地 方 的 多 个 校区 连接 起 来 ,可 以 采用 
VPN 方式 来 实现 。 这 种 方式 比 租 用 专线 要 实惠 得 多 ,是 目前 非常 流行 的 一 种 连接 方式 。 


2.2 路 由 器 简介 


2.2.1 IP 路 由 技术 介绍 

TCP/IP 协议 (Transmission Control Protocol/Internet Protocol ,传输 控制 协议 /网 
际 协议 ) 是 Internet 国际 互联 网 的 基础 , 它 是 一 个 协议 集 ,包括 上 百 个 各 种 功能 的 协议 ,如 
远程 登录 Telnet 文件 传输 FTP 和 电子 邮件 SMTP、POP3 协议 等 。TCP 协议 和 IP 协议 
是 保证 数据 完整 传输 的 两 个 最 基本 、 最 重要 的 协议 ,所 以 通常 用 TCP/IP 协议 来 表示 整个 
协议 集 。 两 台 计 算 机 之 间 要 建立 连接 ,必须 在 每 台 计 算 机 上 都 安装 同一 个 协议 ,否则 不 可 
通信 。 在 TCP/IP 协议 集中 ,很 多 协议 安装 后 需要 配置 才 可 以 使 用 。 比 如 TCP/IP 协议 
在 安装 之 后 ,必须 为 计算 机 配置 相应 的 IP 地址、. 子 网 掩 码 和 网 关 等 信息 。 也 有 些 协 议 不 
需要 配置 即 可 使 用 ,比如 NetBEUI 协议 ,该 协议 是 局 域 网 内 的 一 个 高 效 协议 ,只 要 在 同一 
个 子 网 内 互 连 的 两 台 计 算 机 上 都 安装 了 该 协议 , 即 可 实现 计算 机 之 间 的 通信 ,无 需 作 更 多 
配置 。 
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目前 ,基于 TCP/IP 协议 的 Internet 已 逐步 发 展 成 为 当今 世界 上 规模 最 大 、 拥 有 用 户 
和 资源 最 多 的 一 个 超大 型 计算 机 网 络 ,TCP/IP 协议 也 因此 成 为 事实 上 的 工业 标准 ,IP 网 
络 正 逐步 成 为 当代 力 至 未 来 计算 机 网 络 的 主流 。 

Internet 是 全 世界 范围 内 的 计算 机 连 为 一 体 而 构成 的 通信 网 络 的 总 称 。 某 个 网 络 上 
的 两 台 计 算 机 之 间 在 相互 通信 时 ,在 它们 所 传送 的 数据 包 里 都 会 含有 某 些 附加 信息 ,这些 
附加 信息 就 是 发 送 数据 的 计算 机 的 地 址 和 接收 数据 的 计算 机 的 地 址 。 当 网 络 中 存在 以 
IP 协议 为 基础 的 通信 时 ,这 些 发 送 和 接收 数据 的 地 址 就 是 IP 地 址 。 

IP 地 址 是 IP 网 络 中 数据 传输 的 依据 , 它 标 识 了 IP 网 络 中 的 一 个 连接 ,一 台 主 机 可 
以 有 多 个 IP 地址 。IP 分 组 中 的 IP 地 址 在 网 络 传输 中 是 保持 不 变 的 。 根 据 TCP/IP 协议 
规定 ,IP 地 址 是 由 32 位 二 进 制 数组 成 ,该 IP 地 址 在 Internet 范围 内 是 唯一 的 。 例 如 , 某 
台 连 在 Internet 上 的 计算 机 的 IP 地 址 用 32 位 二 进 制 数 表示 为 : 11010011 01000010 
01000111 00001000 ,但 该 种 方式 很 难 记 住 。 为 了 方便 记忆 ,通常 采用 点 分 十 进 制 的 方式 
来 表示 ,那么 前 面 用 二 进 制 表示 的 IP 地 址 就 可 以 表示 为 211. 66. 71. 8。 

若 通信 的 两 台 计 算 机 的 IP 地 址 位 于 同一 个 子 网 之 内 , 则 计算 机 之 间 的 通信 在 TCP/ 
IP 协议 的 二 层 之 下 就 可 以 完成 。 主 动 进 行 通信 的 计算 机 A 会 首先 发 送 一 个 包含 要 与 之 
通信 的 计算 机 B 的 IP 地 址 信息 的 ARP 类 型 的 广播 包 , 当 计算 机 B 得 到 这 个 ARP 包 并 
发 现 计算 机 A 要 与 自己 建立 通信 连接 时 ,计算 机 B 会 向 计算 机 A 发 送 一 个 响应 的 ARP 
包 , 这 个 包 内 包含 了 计算 机 B 的 MAC 地 址 。 然 后 ,计算 机 A 和 B 之 间 就 可 以 通过 MAC 
地 址 在 数据 链 路 层 之 下 进行 数据 的 通信 。 而 当 计算 机 A 和 B 位 于 不 同 的 子 网 时 ,此 时 两 
台 计 算 机 之 间 的 通信 要 经 过 路 由 方 可 进行 。 目 前 ,通常 采用 路 由 器 或 具备 三 层 功 能 的 交 
换 机 来 实现 不 同 子 网 之 间 的 路 由 功能 。 在 一 个 企业 的 大 型 局 域 网 之 内 一 般 采 用 三 层 交换 
机 来 实现 ,而 在 不 同 企业 之 间 互 联 时 则 采用 路 由 器 来 实现 ,因为 路 由 器 具备 更 丰富 的 路 由 
协议 。 

所 谓 路 由 是 指 通 过 相互 连接 的 网 络 把 信息 从 源 地 点 移动 到 目标 地 点 的 活动 。 一 般 来 
说 ,在 路 由 过 程 中 ,信息 至 少 会 经 过 一 个 或 多 个 中 间 节 点 ,而 且 作用 于 不 同 的 网 段 之 间 。 

路 由 器 之 所 以 在 互联 网 络 中 处 于 关键 地 位 ,是 因为 它 处 于 网 络 层 ,一 方面 它 屏 项 了 下 
层 网 络 的 技术 细节 ,能 够 跨越 不 同 的 物理 网 络 类 型 (DDN、FDDI 和 以 太 网 等 ), 使 各 类 网 
络 都 统一 为 IP 网 络 ,这 种 一 致 性 使 全 球 范围 用 户 之 间 的 通信 成 为 可 能 ; 另 一 方面 将 整个 
互联 网 络 分 割 成 逻辑 上 独立 的 网 络 单位 ,使 网 络 具 有 一 定 的 逻辑 结构 。 同 时 路 由 器 还 负 
责 对 IP 包 进行 灵 活 的 路 由 选择 ,把 数据 逐 段 向 目的 地 转发 ,使 全 球 范围 用 户 之 间 的 通信 
成 为 现实 。 

路 由 器 是 用 来 连接 不 同 网 段 或 网 络 的 。 在 企业 中 使 用 路 由 器 主要 是 实现 局 域 网 与 互 
联网 (Internet) 的 连接 ,除了 实现 不 同 网 络 的 连接 外 ,路 由 器 还 拥有 地 址 转换 功能 
(NAT) ,借助 单一 IP 地 址 ( 公 网 ) 实 现 整个 企业 网 络 的 Internet 连接 共享 ,并 将 网 络 内 的 
计算 机 隐藏 起 来 ,从 而 提高 网 络 的 安全 性 ,避免 受到 外 部 用 户 的 恶意 攻击 。 目 前 路 由 器 已 
经 广泛 应 用 于 各 行 各 业 , 各 种 不 同 档次 的 产品 已 经 成 为 实现 各 种 骨干 网 内 部 连接 、 骨 干 网 
间 互 联 和 骨干 网 与 互联 网 互联 互通 业务 的 主力 军 。 

路 由 和 交换 都 实现 数据 转发 的 功能 。 二 者 的 主要 区 别 在 于 交换 发 生 在 OSI 参考 模 
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型 的 第 二 层 , 即 数据 链 路 层 ,而 路 由 发 生 在 第 三 层 , 即 网 络 层 。 这 一 区 别 决 定 了 路 由 和 交 
换 在 移动 信息 的 过 程 中 需要 使 用 不 同 的 控制 信息 ,所 以 两 者 实现 各 自 功 能 的 方式 是 不 
同 的 。 

当 IP 子 网 中 的 一 台 主 机 发 送 IP 分 组 给 同一 IP 子 网 的 另 一 台 主 机 时 , 它 直接 把 IP 
分 组 送 到 网 络 上 ,对 方 就 能 收 到 。 而 要 送 给 不 同 IP 子 网 上 的 主机 时 , 它 选 择 一 个 能 够 到 
达 目 的 子 网 的 路 由 器 ,把 IP 分 组 送 给 该 路 由 器 ,由 路 由 器 负责 把 IP 分 组 送 到 目的 地 。 如 
果 没 有 找到 这 样 的 路 由 器 ,主机 就 把 IP 分 组 送 给 一 个 称 为 “默认 网 关 (Default 
Gateway)” 的 路 由 器 上 。 这 样 一 级 级 地 传送 ,IP 分 组 最 终 将 送 到 目的 地 , 送 不 到 目的 地 的 
IP 分 组 则 被 网 络 丢弃 。 默 认 网 关 是 每 台 主 机 上 的 一 个 配置 参数 , 它 是 接 在 同一 个 网 络 上 
的 某 个 路 由 器 端口 的 IP 地 址 。 

路 由 动作 包括 两 项 基本 内 容 : 寻 径 和 转发 。 寻 径 即 判定 到 达 目 的 地 的 最 佳 路 径 , 由 
路 由 选择 算法 来 实现 。 为 了 判定 最 佳 路 径 , 路 由 选择 算法 必须 启动 并 维护 包含 路 由 信息 
的 路 由 表 , 其 中 的 路 由 信息 依赖 于 所 用 的 路 由 选择 算法 而 不 尽 相 同 。 路 由 器 将 收集 到 的 
不 同 信息 填 人 路 由 表 中 ,根据 路 由 表 可 将 目的 网 络 与 下 一 站 或 称 为 “下 一 跳 (Next Hop)” 
的 关系 告诉 路 由 器 。 路 由 器 间 互 通信 息 进 行路 由 更 新 ,更 新 维护 路 由 表 使 之 正确 反映 网 
络 的 拓扑 变化 ,并 由 路 由 器 根据 量度 来 决定 最 佳 路 径 , 这 就 是 路 由 选择 协议 (Routing 
Protocol) ,常见 的 路 由 选择 协议 有 路 由 信息 协议 (RIP)、 开 放 式 最 短路 径 优先 协议 
(OSPF) 和 边界 网 关 协 议 (BGP) 等 。 

转发 即 沿 寻 径 好 的 最 佳 路 径 传送 信息 分 组 。 路 由 器 首先 在 路 由 表 中 查找 ,判明 是 否 
知道 如 何 将 分 组 发 送 到 下 一 个 站 点 (路 由 器 或 主机 ) ,如 果 路 由 器 不 知道 如 何 发 送 分 组 , 通 
常 将 该 分 组 丢弃 ,否则 就 根据 路 由 表 的 相应 表 项 将 分 组 发 送 到 下 一 个 站 点 。 如 果 目 的 网 
络 直接 与 路 由 器 相连 ,路 由 器 就 把 分 组 直接 发 送 到 相应 的 端口 上 ,这 就 是 路 由 转发 协 
议 (Routed Protocol) 。 


2.2.2 路 由 器 的 结构 
路 由 器 的 基本 组 件 包 括 处 理 器 .接口 和 存储 器 等 。 


1. 处 理 器 

处 理 器 即 CPU ,如 同 在 计算 机 中 的 重要 性 一 样 ,CPU 也 是 路 由 器 的 核心 部 件 。 路 由 
器 的 处 理 器 随 着 路 由 器 型 号 的 不 同 而 各 异 ,一 般 越 高 端的 路 由 器 ,其 处 理 器 的 处 理 能 力 越 
强 。 在 中 低 端 路 由 器 中 ,CPU 负责 交换 路 由 信息 、 路 由 表 查 找 以 及 转发 数据 包 。 此 时 ， 
CPU 的 能 力 直接 影响 路 由 器 的 吞吐 量 (路 由 表 查 找 时 间 ) 和 路 由 计算 能 力 (影响 网 络 路 由 
收敛 时 间 )。 在 高 端 路 由 器 中 ,通常 包 的 转发 和 查 表 由 ASIC 芯片 完成 ,CPU 只 实现 路 由 
协议 ,计算 路 由 以 及 分 发 路 由 表 。 由 于 技术 的 发 展 ,现在 路 由 器 中 的 许多 工作 都 可 以 由 硬 
件 实现 (专用 芯片 )。CPU 性 能 并 不 完全 反映 路 由 器 的 性 能 ,路 由 器 的 性 能 将 通过 路 由 器 
吞吐 量 、 时 延 和 路 由 计算 能 力 等 指标 综合 体现 。 

2. 接口 


(1) 通信 接口 
在 路 由 器 上 ,有 着 丰富 的 接口 类 型 ,如 以 太 网 .快速 以 太 网 . 千 兆 以 太 网 、 串 行 、 异 步 / 
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同步 .ATM ISDN 等 接口 。 

对 于 不 同 的 路 由 器 系列 ,接口 的 编号 通常 有 三 种 。 

固定 配置 或 最 低 端 的 路 由 器 ,其 接口 的 编号 是 用 单个 数字 ,例如 CISCO 2500 路 由 器 
上 的 接口 编号 可 以 是 ethernet 0( 以 太 网 接口 0) serial 1 〈 串 行 接口 1) .bri 0(ISDNBRI 
接口 0) 等 。 

中 , 低 端的 模块 化 路 由 器 ,其 接口 的 编号 为 两 个 数字 ,中 间 用 */” 隔 开 , 斜 杠 前 面 是 模 
块 号 ,后 面 是 模块 上 的 接口 编号 。 例 如 CISCO 2600 路 由 器 上 的 接口 编号 可 以 是 ethernet 
0/1，serial 1/1,bri 0/0 等 。 

高 端的 模块 化 路 由 器 ,其 接口 的 编号 除 两 个 数字 的 情况 外 ,有 时 为 三 个 数字 ,中 间 用 
“/” 隔 开 , 第 1 个 数字 是 模块 号 ,第 2 个 数字 是 该 模块 上 的 子 卡 号 ,第 3 个 数字 是 该 子 卡 上 
的 接口 编号 。 例 如 CISCO 7500 路 由 器 上 的 接口 编号 可 以 是 fastethernet 1/0/0,vg 一 
anylan 1/0/2 等 。 

(2) 控制 台 端 口 

几乎 所 有 的 路 由 器 都 在 路 由 器 背后 安装 了 一 个 控制 台 端 口 。 控 制 台 端口 提供 了 一 个 
EIA/TIA-232( 以 前 也 叫 RS-232) 异 步 串 行 接口 。 一 般 较 小 的 路 由 器 采用 RJ-45 控制 台 
连接 器 ,而 较 大 的 路 由 器 采用 DB-25 控制 台 连 接 器 。 通 过 控制 台 端 口 ,用 控制 线 把 一 台 
计算 机 和 路 由 器 连接 起 来 ,打开 计算 机 上 的 超级 终端 ,就 可 以 对 路 由 器 进行 初始 化 配置 。 

(3) 辅助 端口 

大 多 数 CISCO 路 由 器 都 配备 了 一 个 辅助 端口 (Auxiliary Port)。 它 和 控制 台 端口 类 
似 , 提 供 了 一 个 EIA/TIA-232 异步 串 行 连接 ,使 管理 员 能 与 路 由 器 通信 。 辅 助 端口 通常 
用 来 连接 Modem, 以 实现 对 路 由 器 的 远程 管理 。 远 程 通 信 链 路 通常 并 不 用 来 传输 平时 的 
路 由 数据 包 , 它 的 主要 作用 是 在 网 络 路 径 或 回路 失效 后 借助 该 方式 对 一 个 路 由 器 进行 
访问 。 

3. 存储 器 

在 路 由 器 中 ,内存 通 常用 来 存储 配置 .路 由 器 操作 系统 .路 由 协议 软件 等 内 容 。 在 中 
低 端 路 由 器 中 ,路 由 表 可 能 存储 在 内 存 中 。 一 般 而 言 ,路 由 器 内 存 越 大 越 好 ,但 是 与 考察 
路 由 器 中 的 CPU 相似 ,内 存 同样 不 直接 反映 路 由 器 的 性 能 与 能 力 , 因 为 高 效 的 算法 与 优 
秀 的 软件 可 能 大 大 节约 内 存 。 

在 路 由 器 中 通常 包含 4 种 主要 的 存储 器 ,它们 分 别 是 ROM、RAM.、 Flash 和 
NVRAM., 

ROM 是 只 读 存储 器 ,其 中 存储 IOS( 网 际 操作 系统 ) 软 件 , 用 于 在 加 电 时 引导 路 由 器 


启动 。 
RAM 是 随机 存 取 存 储 器 , 它 是 IOS 软件 活动 的 场所 。 路 由 器 的 运行 配置 (Running- 
config) 也 存放 在 RAM 中 。RAM 中 的 所 有 内 容 包括 运行 配置 在 路 由 器 断 电 后 都 将 被 清 
除 。 它 与 处 理 器 配合 完成 各 种 路 由 器 的 操作 处 理 。 

Flash 亦 称 为 Flash Memory, 像 Flash 卡 一 样 . 可 以 存放 文件 ,并 且 在 断 电 后 仍 可 以 
保存 。 在 路 由 器 中 ,Flash 主要 用 于 存储 IOS 映像 文件 。 

NVRAM 是 非 易 失 随 机 存储 器 ,用 于 存储 启动 配置 (Startup-config) 文 件 。 


区 


2.2.3 路 由 器 的 分 类 


1. 从 性 能 上 划分 

从 性 能 上 可 分 为 线 速 路 由 器 和 非 线 速 路 由 器 。 

所 谓 线 速 路 由 器 就 是 完全 可 以 按 传输 介质 带宽 进行 通畅 传输 ,基本 上 没有 间断 和 延 
时 。 通 常 高 端 路 由 器 是 线 速 路 由 器 ,具有 非常 高 的 端口 带宽 和 数据 转发 能 力 , 能 以 媒体 速 
率 转发 数据 包 ; 中 低 端 路 由 器 是 非 线 速 路 由 器 。 但 是 一 些 新 的 宽带 接 人 路 由 器 也 有 线 速 
转发 能 力 。 

另外 根据 性 能 的 分 类 标准 ,也 可 把 路 由 器 分 为 高 中、 低档 路 由 器 。 

通常 将 路 由 器 吞吐 量 大 于 40Gbps 的 路 由 器 称 为 高 档 路 由 器 ,吞吐 量 在 25Gbps 一 
40Gbps 之 间 的 路 由 器 称 为 中 档 路 由 器 ,而 将 低 于 25Gbps 的 路 由 器 看 作 低档 路 由 器 。 当 
然 这 只 是 一 种 宏观 上 的 划分 标准 ,各 个 厂家 的 划分 标准 并 不 完全 一 致 。 以 市 场 占有 率 最 
大 的 CISCO 公司 为 例 ,12000 系列 为 高 端 路 由 器 ,7500 以 下 系列 路 由 器 为 中 低 端 路 由 器 。 


2. 从 结构 上 划分 

从 结构 上 可 分 为 模块 化 路 由 器 和 非 模 块 化 路 由 器 。 

模块 化 结构 可 以 灵活 地 配置 路 由 器 ,以 适应 企业 不 断 增 加 的 业务 需求 , 非 模块 化 的 路 
由 器 只 能 提供 固定 的 端口 。 通 常 中 高 端 路 由 器 为 模块 化 结构 , 低 端 路 由 器 为 非 模块 化 
结构 。 


3. 从 功能 上 划分 

从 功能 上 划分 ,可 将 路 由 器 分 为 太 比特 路 由 器 .骨干 级 路 由 器 .企业 级 路 由 器 和 接 人 
级 路 由 器 。 

(1) 太 比 特 路 由 器 

光纤 和 DWDM(Dense Wavelength Division Multiplexing ,高 密度 多 工分 波 器 ) 是 未 
来 核心 互联 网 将 要 使 用 的 新 技术 。 为 了 使 用 新 技术 ,就 需要 高 性 能 的 骨干 交换 /路 由 
器 ( 太 比 特 路 由 器 ) , 太 比 特 路 由 器 技术 现在 还 主要 处 于 开发 实验 阶段 。 

(2) 骨干 级 路 由 器 

企业 级 网 络 的 互联 一 般 采 用 骨干 级 路 由 器 实现 。 由 于 地 位 的 重要 性 ,要 求 骨 干 级 路 
由 器 要 具备 高 速度 和 高 可 靠 性 ,而 价格 则 处 于 次 要 地 位 。 为 了 提高 可 靠 性 ,可 采用 热 备 
份 . 双 电源 、 双 数据 通路 等 传统 元 余 技 术 。 骨 干 IP 路 由 器 的 主要 性 能 瓶颈 是 在 转发 表 中 
查找 某 个 路 由 所 耗费 的 时 间 。 当 收 到 一 个 数据 包 时 ,输入 端口 在 转发 表 中 查找 该 数据 包 
的 目的 地 址 以 确定 其 目的 端口 , 当 数 据 包 越 短 或 者 要 发 往 许 多 目的 端口 时 ,势必 增加 路 由 
查找 的 代价 。 因 此 ,将 一 些 常 访问 的 目的 端口 存放 到 缓存 中 能 够 提高 路 由 查找 的 效率 。 
不 管 是 输入 缓冲 还 是 输出 缓冲 路 由 器 ,通常 都 存在 路 由 查找 的 瓶颈 问题 。 

(3) 企业 级 路 由 器 

企业 级 路 由 器 连接 许多 终端 系统 ,连接 对 象 较 多 ,但 系统 相对 简单 , 旦 数据 流量 较 小 。 
对 这 类 路 由 器 的 要 求 是 以 尽量 简单 的 方法 实现 尽 可 能 多 的 端点 互 连 ,同时 还 要 求 能 够 支 
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持 不 同 的 服务 质量 。 

(4) 接 入 级 路 由 器 

接 人 级 路 由 器 主要 用 于 连接 家 庭 或 ISP 内 的 小 型 企业 客户 群体 。 接 入 路 由 器 不 只 是 
提供 SLIP 或 PPP 连接 ,还 支持 诸如 PPTP 和 IPSec 等 虚拟 私有 网 络 协 议 , 这 些 协议 能 在 
每 个 端口 上 运行 。 诸 如 ADSL 等 技术 将 很 快 提 高 各 家 庭 的 可 用 带宽 ,这 将 进一步 增加 接 
人 路 由 器 的 负担 。 基 于 这 种 趋势 , 接 入 路 由 器 将 来 会 支持 许多 异 构 和 高 速 端口 ,并 在 各 个 
端口 上 能 够 运行 多 种 协议 ,同时 还 要 避 开 电话 交换 网 。 

4. 按 所 处 网 络 位 置 划 分 

按 所 处 网 络 位 置 划分 ,通常 把 路 由 器 划 为 边界 路 由 器 和 中 间 节 点 路 由 器 。 

边界 路 由 器 处 于 网 络 边缘 ,用 于 连接 不 同 的 网 络 。 中 间 节 点 路 由 器 则 处 于 网 络 的 中 
间 ,通常 用 于 连接 不 同 的 网 络 ,起 到 数据 转发 的 桥梁 作用 。 由 于 各 自 所 处 的 网 络 位 置 有 所 
不 同 , 其 主要 性 能 也 就 有 相应 的 侧重 。 中 间 节 点 路 由 器 要 面 对 各 种 各 样 的 网 络 ,需要 记忆 
网 络 中 各 节点 路 由 器 的 MAC 地 址 ,所 以 中 间 节 点 路 由 器 就 需要 选择 具备 较 大 的 缓存 、 
MAC 地 址 记忆 能 力 较 强 的 路 由 器 。 而 边界 路 由 器 由 于 它 可 能 要 同时 接收 来 自 许多 不 同 
网 络 路 由 器 发 来 的 数据 ,所 以 边界 路 由 器 的 背 板 带 宽 要 足够 宽 。 

2.2.4 路 由 器 在 网 络 中 的 主要 作用 

路 由 器 是 互联 网 的 主要 节点 设备 , 它 通 过 路 由 决定 数据 的 转发 。 作 为 不 同 网 络 之 间 
互相 连接 的 枢纽 ,路 由 器 系统 构成 了 基于 TCP/IP 的 Internet 的 主体 脉络 ,也 可 以 说 ,路 
由 器 构成 了 Internet 的 骨架 , 它 的 处 理 速度 是 网 络 通 信 的 主要 瓶颈 之 一 , 它 的 可 靠 性 则 直 
接 影响 着 网 络 互 联 的 质量 。 因 此 ,在 园区 网 、 地 区 网 乃至 整个 Internet 研究 领域 中 ,路 由 
器 技术 始终 处 于 核心 地 位 。 

路 由 器 是 工作 在 OSI 参考 模型 的 第 三 层 (网 络 层 ) 的 数据 包 转 发 设备 ,并 通过 转发 数 
据 包 来 实现 网 络 互联 。 它 通常 用 于 节点 众多 的 大 型 企业 网 络 环境 ,与 交换 机 和 网 桥 相 比 ， 
在 实现 骨干 网 的 互联 方面 ,路 由 器 (特别 是 高 端 路 由 器 ) 有 着 明显 的 优势 。 路 由 器 高 度 的 
智能 化 ,对 各 种 路 由 协议 、 网 络 协议 和 网 络 接口 的 广泛 支持 ,还 有 其 独 具 的 安全 性 和 访问 
控制 等 功能 和 特点 ,是 网 桥 和 交换 机 等 其 他 互 连 设备 所 不 具备 的 。 

路 由 器 实际 上 就 是 一 台 计 算 机 ,因为 它 的 硬件 和 计算 机 类 似 。 路 由 器 通常 包括 处 理 
器 ,不 同 种 类 的 内 存 ( 主 要 用 于 存储 信息 ) 、 各 种 端口 (主要 用 于 连接 外 围 设备 或 允许 它 和 
其 他 计算 机 通信 ) 和 操作 系统 (主要 提供 各 种 功能 ) 。 

路 由 器 软件 是 复杂 的 软件 之 一 。 有 些 路 由 器 软件 运行 在 嵌入 式 操作 系统 上 ,有 些 运 
行 在 UNIX 操作 系统 上 ,甚至 有 些 软件 为 提高 效率 ,本 身 就 是 操作 系统 。 路 由 器 软件 一 
般 实现 路 由 协议 功能 、 查 表 转 发 功能 和 管理 维护 等 其 他 功能 。 由 于 互联 网 规模 庞大 ,运行 
在 互联 网 上 路 由 器 中 的 路 由 表 非 常 巨 大 ,可 能 包含 几 十 万 条 路 由 . 查 表 转 发 工作 非常 繁 
重 。 在 高 端 企业 路 由 器 中 ,这 些 功 能 通常 由 ASIC 芯片 硬件 实现 。 

路 由 软件 的 高 复杂 性 另 一 方面 体现 在 高 可 靠 性 、 高 可 用 性 以 及 鲁 棒 性 。 实 现 路 由 软 
件 的 功能 并 不 复杂 ,在 免费 共享 软件 中 甚至 可 以 得 到 路 由 协议 和 数据 转发 的 实现 源码 。 
但 是 ,难点 在 于 需要 该 软件 高 效 、 可 靠 地 运行 在 每 年 365 天 、 每 天 24 小 时 中 。 


天 


目前 ,常用 的 企业 路 由 器 一 般 具 有 三 层 交 换 功 能 ,提供 千 / 万 兆 端口 的 速率 .服务 质 
量 (QoS) .多 点 广播 .强大 的 VPN 流量 控制 支持 IPv6、 组 播 以 及 MPLS 等 特性 的 支持 
能 力 ,满足 企业 用 户 对 安全 性 、 稳 定性 .可靠 性 等 要 求 。 

路 由 器 用 于 连接 多 个 逻辑 上 分 开 的 网 络 , 所 谓 的 逻辑 网 络 就 是 代表 一 个 单独 的 网 络 
或 者 一 个 子 网 。 当 数据 从 一 个 子 网 传输 到 另 一 个 子 网 时 ,可 通过 路 由 器 来 完成 。 事 实 上 ， 
企业 路 由 器 主要 连接 企业 局 域 网 与 广域网 。 一 般 来 说 .企业 异种 网 络 互 联 、 多 个 子 网 互联 
都 应 当 采 用 企业 级 路 由 器 来 完成 。 

路 由 器 的 一 个 作用 是 连通 不 同 的 网 络 , 另 一 个 作用 是 选择 信息 传送 的 线路 。 选 择 通 
畅快 捷 的 线路 ,能 大 大 提高 通信 速度 ,减轻 企业 网 络 系统 的 通信 和 负荷 ,节约 网 络 系统 资源 ， 
提高 网 络 系统 的 畅通 率 ,从 而 让 企业 网 络 系统 发 挥 出 更 大 的 效益 。 因 此 它 的 优点 就 是 适 
用 于 大 规模 的 企业 网 络 连接 ,可 以 采用 复杂 的 网 络 拓扑 结构 ,负载 共享 和 最 优 路 径 ,能 更 
好 地 处 理 多 媒体 ,安全 性 高 ;节省 局 域 网 的 频 宽 ,隔离 不 需要 的 通信 和 量 ,减少 主机 负担 。 企 
业 级 路 由 器 的 缺点 也 是 很 明显 的 ,比如 不 支持 非 路 由 协议 ,安装 复杂 以 及 价格 比较 高 等 。 

总 的 来 讲 ,路 由 器 主要 有 以 下 几 种 功能 : 

QO@ 网 络 互联 ,路 由 器 支持 各 种 局 域 网 和 广域网 接口 ,主要 用 于 互联 局 域 网 和 广域网 ， 
实现 不 同 网 络 之 间 互相 通信 。 

@ 数据 处 理 ,提供 包括 分 组 过 滤 、 分 组 转发 .优先 级 、 复 用 、 加 密 、 压 缩 和 防火 墙 等 
功能 。 

@ 网 络 管理 ,路 由 器 提供 包括 配置 管理 ,性 能 管理 ,容错 管理 和 流量 控制 等 功能 。 

路 由 器 通过 路 由 表 (Routing Table) 实 现 路 径 选 择 功能 。 路 由 表 中 保存 着 子 网 的 标 
志 信 息 、 网 络 中 路 由 器 的 个 数 和 下 一 个 路 由 器 的 名 字 等 内 容 。 路 由 表 可 以 是 由 系统 管理 
员 固 定 设置 好 的 ,也 可 以 由 系统 动态 修改 ;可 以 由 路 由 器 自动 调整 ,也 可 以 由 主机 控制 。 
路 由 表 有 静态 路 由 表 和 动态 路 由 表 之 分 ,由 系统 管理 员 事 先 设置 好 的 固定 的 路 由 表 称 为 
静态 (Static) 路 由 表 , 一 般 是 在 系统 安装 时 根据 网 络 的 配置 情况 预先 设 定 的 , 它 不 会 随 未 
来 网 络 结构 的 改变 而 改变 ,而 动态 (Dynamic) 路 由 表 是 路 由 器 根据 网 络 系统 的 运行 情况 
而 自动 调整 的 路 由 表 。 路 由 器 根据 路 由 选择 协议 (Routing Protocol) 提供 的 功能 ,自动 学 
习 和 记忆 网 络 运行 情况 ,在 选择 路 由 时 自动 计算 数据 传输 的 最 佳 路 径 。 

下 面 通 过 一 个 例子 来 介绍 在 网 络 环境 下 路 由 器 是 如 何 发 挥 其 路 由 、 数 据 转发 作用 的 ， 
如 图 2-5 所 示 。 

在 图 2-5 中 ,A、B、C、.D 4 个 网 络 通过 路 由 器 连接 在 一 起 , 现 假设 网 络 A 中 的 一 个 用 
户 Al 要 向 C 网 络 中 的 C3 用 户 发 送 一 个 请 求 信 号 ,信和 号 传递 的 步骤 如 下 : 

第 1 步 : 用 户 Al 将 目的 用 户 C3 的 IP 地址 和 其 他 的 数据 信息 组 合成 一 个 数据 帧 ,并 
以 广播 的 形式 发 送 给 同一 网 络 中 的 所 有 节点 , 当 路 由 器 A5 端口 侦 听 到 这 个 地 址 后 ,分 析 
得 知 所 发 送 的 目的 节点 不 是 本 网 段 的 ,需要 路 由 转发 ,就 把 数据 帧 接收 下 来 。 

第 2 步 : 路 由 器 A5 端口 接收 到 用 户 Al 的 数据 帧 后 , 先 从 报头 中 取出 目的 用 户 C3 
的 IP 地 址 ,并 根据 路 由 表 计 算出 发 往 用 户 C3 的 最 佳 路 径 。 因 为 从 分 析 得 知 C3 的 网 络 
ID 号 与 路 由 器 的 C5 网 络 ID 号 相同 ,所 以 由 路 由 器 的 A5 端口 直接 发 向 路 由 器 的 C5 端 
口 应 是 信号 传递 的 最 佳 途径 。 
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图 2-5 通过 路 由 器 互联 的 一 个 网 络 


第 3 步 : 路 由 器 的 C5 端口 再 次 取出 目的 用 户 C3 的 IP 地 址 , 找 出 C3 的 IP 地 址 中 的 
主机 ID 号 。 如 果 在 网 络 中 有 交换 机 , 则 可 先 发 给 交换 机 ,由 交换 机 根据 MAC 地 址 表 找 
出 具体 的 网 络 节点 位 置 ;如 果 没 有 交换 机 设备 , 则 根据 其 IP 地 址 中 的 主机 ID 直接 把 数据 
帧 发 送 给 用 户 C3 ,这 样 一 个 完整 的 数据 通信 转发 过 程 就 完成 了 。 

可 以 看 出 ,不 管 网 络 有 多 人 么 复杂 ,路 由 器 所 做 的 工作 其 实 就 是 这 么 几 步 ,所 以 整个 路 
由 器 的 工作 原理 基本 上 都 差不多 。 当 然 在 实际 的 网 络 中 还 远 比 图 2-5 所 示 的 情况 要 复杂 
许多 ,实际 的 步骤 也 不 会 像 上 述 那么 简单 ,但 总 的 过 程 基本 如 此 。 

2.2.5 路 由 器 在 网 络 中 的 连接 

路 由 器 的 硬件 连接 主要 包括 与 局 域 网 设备 之 间 的 连接 ,与 广域网 设备 之 间 的 连接 以 
及 与 配置 设备 之 间 的 连接 。 

1. 路 由 器 与 局 域 网 接 入 设备 之 间 的 连接 

局 域 网 设备 主要 是 指 集线器 与 交换 机 ,交换 机 通常 使 用 的 端口 只 有 RJ-45 和 SC ,而 
集线器 使 用 的 端口 则 通常 为 AUI、BNC 和 RJ-45。 下 面 简单 介绍 一 下 路 由 器 和 集 线 设 备 
的 各 种 端口 之 间 是 如 何 进行 连接 的 。 

(1) RJ-45 to RJ-45 

如 果 路 由 器 和 集 线 设 备 均 提 供 RJ-45 端口 ,就 可 以 使 用 双 绞 线 将 集 线 设备 和 路 由 器 
的 两 个 端口 连接 在 一 起 。 与 集 线 设备 之 间 的 连接 不 同 ,路 由 器 和 集 线 设备 之 间 的 连接 不 
使 用 交叉 线 , 而 是 使 用 直通 线 。 通 常 ,集线器 设备 之 间 的 级 联 是 通过 级 联 端口 进行 的 ,而 
路 由 器 与 集线器 或 交换 机 之 间 的 互 连 是 通过 普通 端口 进行 的 。 另 外 ,路 由 器 和 集 线 设备 
端口 的 通信 速率 应 当 尽 量 匹 配 ,否则 ,可 使 集 线 设备 的 端口 速率 高 于 路 由 器 的 速率 。 

(2) AUI to RJ-45 

如 果 路 由 器 拥有 AUI 端口 ,而 集 线 设 备 提 供 的 是 RJ-45 端口 ,那么 就 必须 借助 于 
AUI to RJ-45 收发 器 才 可 实现 两 者 之 间 的 连接 。 当 然 , 收 发 器 与 集 线 设 备 之 间 的 双 绞 线 
跳 线 也 必须 使 用 直通 线 。 

(3) SC to RJ-45 或 SC to AUI 

这 种 情况 一 般 是 路 由 器 与 交换 机 之 间 的 连接 ,如 交换 机 只 拥有 光纤 端口 ,而 路 由 设备 


人 


提供 的 是 RJ-45 端口 或 AUI 端口 ,那么 必须 借助 于 SC to RJ- 45 或 SC to AUI 收发 器 才 
可 实现 两 者 之 间 的 连接 。 收 发 器 与 交换 机 设备 之 间 的 双 绞 线 跳 线 同样 必须 使 用 直通 线 。 
但 是 实际 上 出 现 交 换 机 为 纯 光 纤 接 口 的 情况 非常 少见 。 


2. 路 由 器 与 Internet 接 入 设备 的 连接 

路 由 器 最 主要 的 应 用 是 与 互联 网 的 连接 ,这 种 情况 在 个 人 用 户 、 事 业 单位 局 域 网 向 互 
联网 接 入 的 情况 下 用 得 最 多 ,而 且 是 必 不 可 少 的 一 种 设备 。 路 由 器 与 互联 网 接 入 设备 的 
连接 情况 主要 有 以 下 几 种 。 

(1) 通过 异步 串 行 口 连接 

异步 串口 主要 用 来 与 Modem 连接 ,实现 远程 计算 机 通过 公用 电话 网 拨 入 局 域 网 络 。 
除 此 之 外 ,也 可 用 于 连接 其 他 终端 。 当 路 由 器 通过 电缆 与 Modem 连接 时 ,必须 使 用 
AYSNC to DB-25 或 AYSNC to DB-9 适配器 来 连接 。 

(2) 同步 串 行 口 

在 路 由 器 中 所 能 支持 的 同步 串 行 端口 类 型 比较 多 ,如 CISCO 系统 就 可 以 支持 5 种 不 
同类 型 的 接口 ,分别 是 EIA/TIA-232 接口 .EIA/TIA-449 接口 、V. 35 接口 .X. 21 串 行 电 
线 总 线 接口 和 EIA-530 接口 。 需 要 注意 的 是 ,一 般 来 说 适配器 连 线 的 两 端 采 用 不 同 的 外 
形 ( 一 般 带 插 针 的 一 端 称 之 为 “ 公 头 ”, 而 带 有 和 孔 的 一 端 称 之 为 “ 母 头 ”) ,但 也 有 例外 ,EIA- 
530 接口 两 端 都 是 一 样 的 接口 类 型 ,这 主要 是 考虑 到 连接 的 紧密 性 。 各 类 接口 的 “ 公 头 ” 
为 DTE(Data Terminal Equipment, 数据 终端 设备 ) 连 接 适 配器 ,“ 母 头 ” 为 DCE (Data 
Communications Equipment, 数 据 通信 设备 ) 连 接 适配器 。 

(3) ISDN BRI 端口 

路 由 器 与 ISDN 设备 互 连 时 需要 通过 特殊 的 端口 和 模块 。CISCO 路 由 器 的 ISDN 
BRI 模块 一 般 可 分 为 两 类 ,一 类 是 ISDN BRI S/T 模块 , 另 一 类 是 ISDN BRI U 模块 。 前 
者 必须 与 ISDN 的 NT1 终端 设备 一 起 才能 实现 与 Internet 的 连接 ,因为 S/T 端口 只 能 接 
数字 电话 设备 ,不 适合 通过 NT1 连接 现 有 的 模拟 电话 设备 。 而 后 者 由 于 内 置 有 NT1 模 
块 ( 称 之 为 NT1 十 终端 设备 ) , 它 的 U 端口 可 以 直接 连接 模拟 电话 外 线 , 因 此 ,无 须 再 外 接 
ISDN NT1, 可 以 直接 连接 至 电话 线 墙 板 插座 。 


3. 配置 端口 

要 配置 路 由 器 ,可 采用 Console 端口 或 AUX 端口 .前 者 主要 用 于 本 地 配置 ,后 者 则 
用 于 远程 配置 。 

(1) Console 端口 的 连接 方式 

要 通过 Console 端口 对 路 由 器 进行 配置 ,需要 使 用 特制 的 控制 线 将 路 由 器 的 Console 
端口 与 计算 机 的 串口 /并 口 连接 在 一 起 ,同时 ,根据 计算 机 所 使 用 的 是 串口 还 是 并 口 ,需要 
选择 RJ-45 to DB-9 或 RJ-45 to DB-25 适配器 来 进行 转换 。 

(2) AUX 端口 的 连接 方式 

如 果 要 通过 远程 访问 的 方式 对 路 由 器 进行 配置 , 则 可 以 采用 AUX 端口 。AUX 端口 
在 外 观 上 与 RJ-45 结构 一 样 ,只 是 里 面 所 对 应 的 电路 不 同 , 从 而 实现 的 功能 也 不 同 。 根 据 
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Modem 所 使 用 的 不 同 端口 ,需要 选择 对 应 的 RJ-45 to DB-9 或 RJ-45 to DB-25 收发 器 来 
实现 AUX 端口 与 Modem 的 连接 。 


4. 路 由 器 的 配置 和 管理 

下 面 主要 介绍 采用 控制 端口 对 路 由 器 进行 初始 配置 ,然后 采用 控制 端口 .虚拟 终端 和 
Web 方式 对 路 由 器 进行 管理 。 

(1) 采用 控制 端口 配置 路 由 器 

对 于 一 台 没 有 IP 地 址 的 路 由 器 ,一般 先 通过 路 由 器 的 控制 端口 进行 配置 。 用 一 条 控 
制 电缆 把 PC 的 串口 和 路 由 器 控制 端口 连接 ,然后 打开 PC 的 超级 终端 工具 建立 一 个 新 连 
接 ( 如 图 2-6 所 示 ) ,选择 连接 的 COM 接口 (如 图 2-7 所 示 ) 并 设置 基本 的 连接 参数 (如 
2-8 所 示 ) ,通常 采用 默认 参数 连接 即 可 。 开 启 路 由 器 电源 ,在 超级 终端 中 将 看 到 如 图 
2-9 所 示 的 信息 ,输入 用 户 账 号 ,通过 身份 验证 后 ,将 可 以 对 路 由 器 进行 信息 查看 和 配置 
(如 图 2-10 所 示 ) 。 


图 2-6 建立 新 连接 图 2-7 选择 连接 的 方式 


采用 控制 端口 的 方式 来 配置 路 由 器 要 求 Eee 
管理 者 在 近 距 离 进 行 ,具有 很 大 的 局 限 性 。 为 
了 方便 管理 员 在 远程 基于 网 络 进行 配置 ,可 以 
在 超级 终端 的 模式 下 启用 虚拟 终端 VTY 
(Virtual Type Terminal ,虚拟 类 型 终端 ) 的 管 
理 方 式 和 Web 管理 方式 ,这 样 管理 员 通 过 网 
络 就 可 以 管理 路 由 器 ,此 时 .一定 要 注意 远程 
管理 的 安全 性 。 

(2) 采用 虚拟 终端 配置 路 由 器 

一 台 3 个 端口 的 路 由 器 提供 3 个 真正 的 
端口 ,同时 ,根据 需要 还 可 以 在 这 人 台 路 由 器 上 
虚拟 出 一 些 端口 ,这 些 虚拟 出 来 的 端口 称 为 虚 
拟 终端 或 虚拟 终端 端口 (VTY)。CISCO 的 路 ”图 2-8 设置 采用 COM 接口 连接 时 的 参数 


网 络 管理 与 安全 
EEE 医 =jlglxj 
文件 四 ， 编 得 也 查看 如 时 CC) 仿 关 [帮助 0 
DlB| S|3| 二 | 吾 | 到 


System Bootstrap，Version 12.2(8r)T2，RELERSE SOFTWRRE (fc1) 


TRC Support: http://www.cisco.com/tac 
Copyright (c) 2802 by cisco Systems, Inc. 


Cc2691 processor with 262144 Kbytes of main memory 
Main memory is configured to 64 bit mode with parity disabled 


Readonly ROMMON initialized 
program load complete, entry poin 
program load complete, entry poin 


program load complete, entry point: Qx80008000, size: 9x7db914 
TI 


Self decompressing the image :幸村 村 村 村 和 
村 拓 村 术科 桂林 打桩 桩 村 守 条 科 村 村 村 入 入 和 持 村 村 科大 社 村 各 [OK ] 


Snart Init is enabled 
snart init is sizing iomem 


ID MEMORY_REQ TYPE 
000258 98905F3C69 C2691 Mainboard 
8008D7 9X60128816 FE Combo Port Module, 2 HAN 
68900F3669 public buffer pools 
Q@%00211088 public particle pools 
TOTRL: @X00A26FCO 


If any of the above Memory Requirements are 


0x80008999，size: Oxb2a0 
9x80008000，size: 0xb2ag 


衬 持 村 术 桂 村 村 和 村 村 捍 桂 扩 村 村 村 村 寺村 入 林寺 村 术 村 村 并 村 
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图 2-9 路 由 器 的 启动 信息 


FE 


ET 


260b>enable 
Possword: 


2698H? 
Exec commands: 

access-enabje 。 Create a tenporary Rccess-List entry 
access-profile fpply user-profile to interfoce 
access-template [Create a temporary fccess-List entry 
archive manage archive files 
bfe For manual emergency modes setting 
cd Change current directory 
clear Reset functions 
clock Manage the system clock 
cns CNS agents , 
configure Enter configuration node 
connect Dpen a terminal connection 
Copy Lopy from one file to another 
debug Debugging functions (see also ‘undebug') 
delete Delete a file 
dir List files on a filesysten 
disable Turn off privileged comnands 
disconnect Disconnect an existing network connection 
enable Turn on privileged commands 
erase Erase a filesystem 
exit Exit from the EXEC 

BaRoom [a EN I 岗 [ERE 


图 2-10 路 由 器 的 管理 


由 器 和 交换 机 一 般 支持 vty0 一 vty4 共 5 个 虚拟 终端 。 下 面 介绍 在 CISCO 路 由 器 下 配置 


虚拟 终端 的 方法 : 


2600 (config)#1ine vty 0 4 
2600 (config)#1ogin 
2600 (config)#password !@#$% 


为 了 限制 通过 虚拟 终端 连接 的 主机 以 提高 安全 性 ,可 以 配置 i 


符合 条 件 的 主机 可 以 进行 虚拟 终端 连接 控制 。 


攻 
0 


vy 


访问 控制 列表 ,这 样 只 有 


比如 仅 允 许 IP 地 址 为 211. 66. 64. 166 的 


» 


主机 才 可 以 通过 虚拟 终端 的 方式 来 访问 ,可 以 按 下 面 的 方法 来 配置 访问 控制 列表 。 


2600 (config)# access- list 1 permit host 211.66.64.166 
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2600 (config)#1line vty 0 4 
2600 (config- line)#access- class 1 line 
启用 了 虚拟 终端 管理 方式 后 ,就 可 以 通过 虚拟 终端 方式 来 管理 。 在 命令 行 方式 下 , 输 
和 人 “telnet 十 路 由 器 IP 地 址 ”, 对 路 由 器 进行 连接 。 


在 连接 之 前 ,一 定 要 设置 好 本 机 的 IP 地 址 和 子 网 掩 码 . 和 否则 连接 不 成 功 ,本 机 的 “本 
地 连接 ?将 显示 不 可 连接 的 提示 。 


如 图 2-11 所 示 为 通过 telnet 方式 连接 路 由 器 成 功 后 的 界面 


5 Telnet 192.168.1.10 


) Har 


' B01 
192.168.1.10 B00f 
Pent 


图 2-11 采用 虚拟 终端 方式 管理 路 由 器 
(3) 通过 Web 方式 管理 路 由 器 
路 由 器 也 提供 了 Web 方式 的 管理 方法 ,在 命令 


以 启用 路 由 器 的 Web 管理 模式 ,同时 指定 认证 方式 
“http:// 路 由 器 IP 地 址 ” 


> 行 状态 下 执行 ip http server 命令 可 


之 后 ,打开 浏览 器 ,在 地 址 栏 中 输入 
,将 打开 如 图 2-12 所 示 的 对 话 框 ,在 "用户 名 ”下 拉 列 表 框 中 输入 


Dhttp://192. 168. 1. 10/ — Microsoft Internet Explorer 


OA © 站 


地 址 | 接 http://192.168.1.10/ 


an 
连接 到 192. 168- 1. 10 


level_15_access 


用 户 名 四 |@ zso 
密码 EF) jet 


口 记 住 我 的 密码 @) 


图 2-12 采用 Web 方式 连接 路 由 器 


el 


区 


路 由 器 的 名 字 ,在 “密码 ”文本 框 中 输入 enable 级 别 密码 , 即 可 登录 到 路 由 器 的 Web 管理 
模式 下 ,如 图 2-13 所 示 。 


Cisco hccess Router - Hone — Nicrosoft Internet Explorer 


文件 四 ”编辑 如” 查看 串 ” 收 豪 申 工具 中 帮助 0 


@E -日 国 国 多 时 六 mx 加 从- 台 


地 址 m) [四 htp-//192 168. 1 10/archive/hone/htal/zhone shtal 


Ciseo SYsTENS 


” cisco 2691 


Home: Summary Status 


IP Address | 192.168.1.10 FastEthemetor) 


Host Name | 2600 


System Uptime | 18 hours, 48 minutes 


Sofiware Version | 12.3(3g) 


| 
moo WM, Copyright (c) 2003-2004 by Cisco Systerms, inc 


图 2-13 路 由 器 的 Web 管理 界面 


在 Web 界面 的 左边 提供 了 多 个 菜单 , 单 击 CISCO ROUTER AND SECURITY 
DEVICE MANAGER 菜单 项 ,打开 如 图 2-14 所 示 的 界面 ,可 对 路 由 器 进行 安全 管理 。 
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图 2-14 Web 方 式 下 提供 的 管理 功能 
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为 了 增强 安全 性 ,可 以 修改 Web 访问 的 默认 端口 。 比 如 把 路 由 器 的 Web 访问 端口 
由 默认 的 端口 80 改 为 8080 ,再 次 通过 浏览 器 访问 路 由 器 时 ,需要 指定 对 应 的 端口 才 可 正 
常 连接 (如 图 2-15)。 同 时 ,通过 下 面 的 语句 设置 访问 控制 列表 ,也 可 以 限定 通过 Web 方 
式 管 理 路 由 器 的 主机 的 IP 地 址 。 


2600 (config)#access- list 1 permit host 192.168.6.1 
2600 (config)#ip http access- class 1 


Dhttp://192. 168. 1. 10:8080/ — Nic 
文件 全 ”编辑 下 ) 查看 YY 收藏 和 工具 如 ”帮助 如 


Om-© BO| Pm wm OB 六 居 口 两 反目“ 


头 证 字 直接 撞 索 国 | 回转 到 | 链 扩 ”3 


地 址 四 ) | 午 http://192_168. 1 10:8080/ 


所 簿 


图 2-15 在 Web 方式 下 采用 8080 端口 访问 路 由 器 


当 用 户 通过 Web 方式 登录 时 ,交换 机 或 路 由 器 一 般 均 提供 3 种 基本 认证 方式 ， 
enable local ,tacacs。 

如 果 采 用 enable 认证 方式 ,用 户 名 需 输 入 对 应 设备 的 名 字 , 密 码 为 enable 密码 。 如 
果 采 用 local 登录 , 则 需要 建立 对 应 的 用 户 账号 。 而 tacacs 方式 则 主要 采用 加 密 协 议 
TACACS 通过 认证 服务 器 进行 验证 。 

TACACS(Terminal Access Controller Access Control System ,终端 访问 控制 器 访问 
系统 ) 是 UNIX 下 的 一 个 比较 老 的 用 户 认 证 .加 密 协 议 , 它 允许 远程 访问 服务 器 传送 用 户 
登录 密码 给 认证 服务 器 ,认证 服务 器 决定 该 用 户 是 否 可 以 登录 系统 。TACACS 是 一 个 加 
密 协 议 , 但 是 它 的 安全 性 不 及 之 后 的 TACACS 十 和 远程 身份 验证 拨 入 用 户 服 务 协 议 。 
TACACS 之 后 推出 的 版 本 是 XTACACS, 这 两 个 协议 均 在 RFC( 请 求 注解 ) 有 相关 说 明 。 


2.3 交换 机 简介 


2.3.1 交换 机 的 工作 原理 

在 组 建 局 域 网 时 ,经常 采用 的 网 络 设备 是 交换 机 和 集线器 。 二 者 在 外 形 上 非常 相似 ， 
而 且 都 遵循 IEEE 802. 3 及 其 扩展 标准 ,介质 存 取 方式 也 均 为 CSMA/CD. 但 是 它们 在 工 
作 原理 上 却 有 着 根本 的 区 别 。 简 单 地 说 ,由 交换 机 构建 的 网 络 称 为 交换 式 网 络 ,每 个 端口 
都 能 独 享 带宽 ,所 有 端口 都 能 够 同时 进行 通信 ,并 且 能 够 在 全 双 工 模式 下 提供 双 倍 的 传输 


~、 


区 


速率 。 而 集线器 构建 的 网 络 称 为 共享 式 网 络 ,在 同一 时 刻 只 能 有 两 个 端口 (接收 数据 的 端 
口 和 发 送 数据 的 端口 ) 进 行 通信 ,所 有 的 端口 分 享 固有 的 带宽 。 下 面 简单 地 以 图 示 方 式 进 
行 介绍 。 

1.“ 共 享 "与 “交换 "数据 传输 技术 

要 明白 交换 机 的 优点 首先 必须 明白 交换 机 的 基本 工作 原理 ,而 交换 机 的 工作 原理 最 
根本 的 是 理解 共享 (Share) 和 交换 (Switch) 这 两 个 概念 。 集 线 器 是 采用 共享 方式 进行 数 
据 传输 的 ,而 交换 机 则 是 采用 交换 方式 进行 数据 传输 的 。 可 以 把 共享 和 交换 理解 成 公路 
交通 情况 : 共享 方式 就 是 来 回 车 辆 共用 一 个 车 道 的 单车 道 公路 ,而 交换 方式 则 是 来 回 车 
辆 各 用 一 个 车 道 的 双 车 道 公 路 ,共享 和 交换 这 两 种 数据 传输 方式 如 图 2-16 所 示 。 
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图 2-16 用 公路 来 理解 “共享 "与 “交换 ”数据 传输 技术 


根据 生活 常识 ,可 以 体会 到 双 车 道 的 交换 方式 的 优越 性 ,因为 双 车 道 来 回 的 车 辆 可 以 
在 不 同 的 车 道上 单独 行走 ,一般 来 说 如 果 不 出 现 意 外 的 话 是 不 可 能 出 现 大 塞车 现象 (当然 
也 有 可 能 , 那 就 是 车 辆 太 多 、 速 度 太 慢 的 情况 下 )。 而 单车 道 就 像 过 独木桥 一 样 ,来 回 的 车 
辆 每 次 只 能 允许 一 个 方向 的 车 辆 经 过 这 个 桥 , 这 样 就 很 容易 出 现 塞 车 现象 。 

交换 机 进行 数据 交换 的 原理 就 是 在 这 样 的 背景 下 产生 的 , 它 解决 了 集线器 那 种 共享 
单车 道 容易 出 现 “ 塞 车 ”的 现象 ,在 交换 机 技术 上 把 这 种 独 享 道 宽 ( 网 络 上 称 之 为 带宽”) 
情况 称 为 “交换 ”, 这 种 网 络 环境 称 为 “交换 式 网 络 ”, 交 换 式 网 络 必须 采用 交换 机 (Switch) 
来 实现 。 如 图 2-16(b) 所 示 可 以 知道 交换 式 网 络 可 以 是 全 双 工 (Full Duplex) 状 态 , 即 可 
以 同时 接收 和 发 送 数据 ,数据 流 是 双向 的 。 而 采用 集线器 作为 网 络 连接 设备 的 网 络 称 为 
“共享 式 网 络 ”, 显 然 ,共享 网 络 的 效率 非常 低 ,在 任 一 时 刻 只 能 有 一 个 方向 的 数据 流 , 即 处 
于 半 双 工 (Half Duplex) 模 式 。 

另 一 方面 ,由 于 单车 道 共享 方式 中 来 回 车 辆 共用 一 个 车 道 ,也 就 是 每 次 只 能 过 一 个 方 
向 的 车 ,这样 车 辆 一 多 ,速度 肯定 会 降下 来 .效率 也 就 跟着 下 降 。 共 享 式 网 络 的 通信 也 与 
共享 车 道 的 情况 类 似 , 它 的 效率 在 数据 流量 大 的 时 候 肯 定 会 降低 ,因为 同一 时 刻 只 能 进行 
单一 数据 传输 任务 ,还 可 能 造成 数据 碰撞 现象 ,就 像 在 单车 道上 经 常 看 到 的 撞车 现象 一 
样 ,因为 车 流量 一 大 ,就 很 难保 证 每 个 车 辆 的 司机 都 遵守 交通 规则 ,容易 出 现 车 辆 碰撞 、 争 
抢 车 道 的 现象 。 而 交换 式 的 数据 传输 方式 出 现 这 种 情况 就 少许 多 ,因为 各 自 都 有 自己 的 
信道 ,各 行 其 道 基 本 上 是 不 太 可 能 发 生 争 抢 信道 的 现象 。 但 也 有 例外 , 那 就 是 数据 流量 增 
大 ,而 网 络 速度 和 带宽 没有 得 到 保证 时 才 会 在 同一 信道 上 出 现 碰撞 现象 ,就 像 在 双 车 道 或 
多 车 道 也 可 能 发 生 撞 车 现象 一 样 。 解 决 这 一 现象 的 方法 有 两 种 ,一 种 是 增加 车 道 , 另 一 种 
方法 就 是 提高 车 速 。 很 显然 增加 车 道 这 一 方法 是 最 基本 的 ,但 它 不 是 最 终 的 解决 方法 , 因 
为 车 道 的 数量 有 限 , 如 果 所 有 车 辆 的 速度 上 不 去 , 那 效 率 还 是 会 低 的 ,对 于 一 些 心急 的 司 
机 来 说 还 是 会 撞车 。 第 二 种 方法 是 一 种 比较 好 的 方法 ,提速 有 助 于 车 辆 正常 有 序 地 快速 
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流动 ,这 就 是 为 什么 高 速 公 路 出 现 撞车 的 现象 反而 比 普通 公路 上 少许 多 的 原因 。 计 算 机 
网 络 也 一 样 , 虽 然 交 换 机 能 提供 全 双 工 方式 进行 数据 传输 ,但 是 如 果 网 络 带宽 不 宽 , 速 度 
不 快 ,每 传输 一 个 数据 包 都 要 花费 大 量 的 时 间 , 那 信道 再 多 也 无 济 于 事 , 网 络 传输 的 效率 
还 是 很 低 ,而 且 网 络 上 的 信道 也 是 非常 有 限 的 ,这 取决 于 带宽 。 目 前 以 太 网 交换 机 带宽 可 
达 10Gbps。 


2. 数据 传输 的 方式 

集线器 的 数据 包 传输 方式 是 广播 方式 ,如 图 2-17 所 示 。 由 于 集线器 中 只 能 同时 存在 
一 个 广播 ,所 以 同一 时 刻 只 能 有 一 个 数据 包 在 传输 ,信道 的 利用 率 较 低 。 

交换 机 具有 MAC 地 址 学 习 功 能 , 它 会 把 连接 到 自己 上 的 MAC 地 址 记 住 ,形成 一 个 
节点 与 MAC 地 址 对 应 表 。 依 据 这 样 的 一 个 MAC 地 址 表 , 它 就 不 必 再 进行 广播 。 从 一 
个 端口 发 过 来 的 数据 ,其 中 含有 目的 地 的 MAC 地 址 ,交换 机 在 保存 在 自己 缓存 中 的 
MAC 地 址 表 中 寻找 与 这 个 数据 包 中 包含 的 目的 MAC 地 址 对 应 的 节点 ,找到 以 后 , 便 在 
这 两 个 节点 间架 起 一 条 临时 性 的 专用 数据 传输 通道 ,这 两 个 节点 便 可 以 不 受 干扰 地 进行 
通信 。 一 般 交 换 机 档次 越 低 , 交 换 机 的 缓存 就 越 小 ,也 就 是 说 为 保存 MAC 地 址 所 准备 的 
空间 也 就 越 小 ,对 应 的 它 能 记 住 的 MAC 地址 数 也 就 越 少 。 通 常 一 台 交 换 机 具有 1024 个 
MAC 地 址 记忆 空间 ,能 满足 实际 需求 。 从 前 面 的 分 析 可 以 知道 交换 机 所 进行 的 数据 传 
递 是 有 明确 的 方向 ,而 不 是 乱 传 递 ,不 像 集线器 的 广播 方式 ,这 种 传递 方式 如 图 2-18 所 
示 。 由 于 交换 机 可 以 进行 全 双 工 传输 ,所 以 交换 机 可 以 同时 在 多 对 节点 之 间 建 立 临 时 专 
用 通道 ,形成 立体 交叉 的 数据 传输 通道 结构 。 


接收 数据 包 的 节点 


O DODDD 如 ip DOOOO 


和 


图 发 送 数据 包 的 节点 0 发 送 数据 包 的 节点 
图 2-17 集线器 的 数据 包 广 播 方式 图 2-18 交换 机 的 点 对 点 数据 包 传 输 方式 


交换 机 的 数据 传输 工作 原理 可 以 简单 地 这 样 来 说 明 。 

当 交 换 机 从 某 一 节点 接收 到 一 个 以 太 网 帧 后 ,将 立即 在 其 内 存 中 的 地 址 表 ( 端 口号 一 
MAC 地 址 ) 中 进行 查找 ,以 确认 该 目的 MAC 地 址 的 网 卡 连接 在 哪 一 个 节点 上 ,然后 将 该 
帧 转发 至 该 节点 。 如 果 在 地 址 表 中 没有 找到 该 MAC 地 址 ,也 就 是 说 ,该 目的 MAC 地 址 
是 首次 出 现 ,交换 机 就 将 数据 包 广 播 到 所 有 节点 。 拥 有 该 MAC 地 址 的 网 卡 在 接收 到 该 
广播 帧 后 ,将 立即 做 出 应 答 , 从 而 使 交换 机 将 其 节点 的 MAC 地 址 添加 到 MAC 地 址 表 
中 。 换 言 之 , 当 交 换 机 从 某 一 节点 收 到 一 个 帧 时 (广播 帧 除外 ) ,将 对 地 址 表 执 行 两 个 动 
作 ,一 是 检查 该 帧 的 源 MAC 地 址 是 否 已 在 地 址 表 中 ,如 果 没 有 , 则 将 该 MAC 地 址 加 到 
地 址 表 中 ,这 样 以 后 就 知道 该 MAC 地 址 在 哪 一 个 节点 。 二 是 检查 该 帧 的 目的 MAC 地 
址 是 否 已 在 地 址 表 中 ,如 果 该 MAC 地 址 已 在 地 址 表 中 , 则 将 该 帧 发 送 到 对 应 的 节点 即 


可 ,而 不 必 像 集线器 那样 将 该 帧 发 送 到 所 有 节点 ,只 需 将 该 帧 发 送 到 对 应 的 节点 ,使 那些 
既 非 源 节点 又 非 目的 节点 的 节点 间 仍 然 可 以 进行 相互 间 的 通信 ,从 而 提供 比 集线器 更 高 
的 传输 速率 ;如 果 该 MAC 地 址 不 在 地 址 表 中 , 则 将 该 帧 发 送 到 所 有 其 他 节点 ( 源 节点 除 
外 ) ,该 帧 相当 于 一 个 广播 帧 。 

这 里 要 明确 一 个 事实 , 那 就 是 交换 机 在 刚 买 回来 时 不 可 能 知道 所 在 网 络 中 各 节点 的 
地 址 ,也 就 是 说 在 交换 机 刚刚 打开 电源 时 ,其 MAC 地 址 表 是 一 片 空白 。 那 么 ,交换 机 的 
地 址 表 是 怎样 建立 起 来 的 呢 ? 交换 机 根据 以 太 网 帧 中 的 源 MAC 地 址 来 更 新 地 址 表 , 然 
后 自我 学 习 . 记 忆 。 当 一 台 计 算 机 打开 电源 后 ,安装 在 该 系统 中 的 网 卡 会 定期 发 出 空闲 包 
或 信号 ,交换 机 据 此 得 知 它 的 存在 以 及 其 MAC 地 址 ,这 就 是 所 谓 的 自动 地 址 学 习 。 由 于 
交换 机 能 够 自动 根据 收 到 的 以 太 网 帧 中 的 源 MAC 地 址 更 新 地 址 表 的 内 容 ,所 以 交换 机 
使 用 的 时 间 越 长 ,存储 的 MAC 地 址 就 越 多 ,未 知 的 MAC 地 址 就 越 少 ,因而 广播 的 包 就 
越 少 ,速度 就 越 快 。 

那么 ,交换 机 是 否 会 永久 性 地 记 住所 有 的 端口 号 一 MAC 地 址 关系 呢 ? 不 是 的 。 由 
于 交换 机 中 的 内 存 毕竟 有 限 , 因 此 能 够 记忆 的 MAC 地 址 数量 也 是 有 限 的 。 既 然 不 能 无 
休止 地 记忆 所 有 的 MAC 地 址 ,那么 就 必须 赋予 其 相应 的 忘却 机 制 , 从 而 吐 故 纳 新 。 事 实 
上 ,工程 师 为 交换 机 设 定 了 一 个 自动 老化 时 间 (Auto-aging) ,车 某 MAC 地 址 在 一 定时 间 
内 (默认 为 300s) 不 再 出 现 , 那 么 交换 机 将 自动 把 该 MAC 地 址 从 地 址 表 中 清除 。 当 下 一 
次 该 MAC 地 址 重新 出 现时 ,将 会 被 当 作 新 地 址 处 理 。 

综 上 所 述 ,交换 机 作为 当前 局 域 网 的 主要 连接 设备 ,与 集线器 相 比 具有 许多 明显 的 优 
点 ,目前 正 有 全 面 取代 集线器 之 势 。 随 着 交换 技术 的 不 断 发 展 ,以 太 网 交换 机 的 价格 急剧 
下 降 , 交 换 到 桌面 已 是 大 势 所 趋 。 如 果 网 络 上 拥有 大 量 的 用 户 、 繁 忙 的 应 用 程序 和 各 式 各 
样 的 服务 器 ,而 且 还 未 对 网 络 结构 做 出 任何 调整 ,那么 整个 网 络 的 性 能 可 能 会 非常 低 。 最 
为 有 效 的 解决 方法 就 是 用 交换 机 替代 原来 的 集线器 ,当然 交换 机 的 价格 会 比 集线器 贵 些 ， 
但 目前 来 说 应 该 是 完全 可 以 接受 的 。 
2.3.2 交换 机 的 分 类 


1. 根据 传输 介质 和 传输 速度 划分 

根据 交换 机 使 用 的 网 络 传输 介质 及 传输 速度 的 不 同 , 一 般 可 以 将 局 域 网 交换 机 分 为 
以 太 网 交换 机 、 快 速 以 太 网 交换 机 、 千 兆 (G 位 ?以 太 网 交换 机 、10 千 兆 (10G 位 ) 以 太 网 交 
换 机 、FDDI 交换 机 、ATM 交换 机 和 令 牌 环 交换 机 等 。 

(1) 以 太 网 交换 机 

以 太 网 交换 机 是 指 带宽 在 100Mbps 以 下 的 以 太 网 所 用 的 交换 机 。 

这 种 交换 机 应 用 最 普遍 ,价格 比较 便宜 ,档次 较 齐 全 .应 用 领域 非常 广泛 。 以 太 网 包 
括 三 种 网 络 接口 : RJ-45、BNC 和 AUI, 所 用 的 传输 介质 分 别 为 双 绞 线 、 细 同 轴 电 缆 和 粒 
同 轴 电 缆 。 不 要 认为 只 要 涉及 以 太 网 的 就 都 是 RJ-45 接口 的 ,只 不 过 双 绞 线 类 型 的 RJ- 
45 接口 在 网 络 设备 中 非常 普遍 而 已 。 当 然 现 在 的 交换 机 通常 不 可 能 全 是 BNC 或 AUI 
接口 的 ,因为 目前 采用 同 轴 电 缆 作 为 传输 介质 的 网 络 已 经 很 少见 了 ,一 般 是 在 RJ-45 接口 
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的 基础 上 为 了 兼顾 同 轴 电 缆 介质 的 网 络 连接 , 配 上 BNC 或 AUI 接口 。 如 图 2-19 所 示 为 
一 款 带 有 RJ-45 和 AUI 接口 的 以 太 网 交换 机 产品 。 

(2) 快速 以 太 网 交换 机 

这 种 交换 机 用 于 100Mbps 快速 以 太 网 。 快 速 以 太 网 是 一 种 在 普通 双 绞 线 或 者 光纤 
上 实现 100Mbps 传输 带宽 的 网 络 技术 。 要 注意 的 是 ,一 涉及 快速 以 太 网 就 认为 全 都 是 
100Mbps 带宽 的 端口 ,事实 上 目前 基本 还 是 以 10/100Mbps 自 适应 型 为 主 。 同 样 这 种 快 
速 以 太 网 交换 机 通常 所 采用 的 介质 也 是 双 绞 线 , 有 的 快速 以 太 网 交换 机 为 了 兼顾 与 其 他 
光 传 输 介 质 的 网 络 互联 ,可 能 会 留 有 少数 的 光纤 接口 SC。 如 图 2-20 所 示 为 一 款 快速 以 
太 网 交换 机 产品 。 


图 2-19 带 有 RJ-45 和 AUI 接 口 的 以 太 网 交换 机 图 2-20 快速 以 太 网 交换 机 


(3) 千 兆 以 太 网 交换 机 

因为 使 用 千 兆 交换 机 的 网 络 带宽 可 以 达到 1000Mbps, 所 以 这 种 网 络 被 称 为 “ 吉 位 (G 
位 ) 以 太 网 ”。 它 一 般 用 于 一 个 大 型 网 络 的 骨干 网 段 , 所 采用 的 传输 介质 有 光纤 、 双 绞 线 两 
种 ,对 应 的 接口 为 SC 和 RJ-45 两 种 。 如 图 2-21 所 示 为 一 款 千 兆 以 太 网 交换 机 产品 。 

(4) 万 兆 以 太 网 交换 机 

万 兆 以 太 网 交换 机 主要 是 为 了 适应 万 兆 以 太 网 络 的 接 入 ,一 般 用 于 骨干 网 段 上 ,采用 
的 传输 介质 为 光纤 ,其 接口 方式 也 就 相应 为 光纤 接口 。 如 图 2-22 所 示 为 一 款 万 兆 以 太 网 
交换 机 产品 ,可 以 看 出 , 它 全 部 采用 光纤 接口 。 


图 2-21 千 兆 以 太 网 交换 机 图 2-22 万 兆 以 太 网 交换 机 


(5) ATM 交换 机 

ATM 交换 机 是 用 于 ATM 网 络 的 交换 机 产品 。ATM 网 络 由 于 其 独特 的 技术 特性 ， 
现在 还 只 广泛 用 于 电信 .邮政 网 的 主干 网 段 , 因 此 其 交换 机 产品 在 市 场 上 很 少 看 到 。 如 果 
在 ADSL 宽带 接 入 方式 中 采用 PPPoA 协议 ,在 局 端 (NSP 端 ) 就 需要 配置 ATM 交换 机 ， 
有 线 电视 的 Cable Modem 互联 网 接 入 法 在 局 端 也 采用 ATM 交换 机 。 它 的 传输 介质 一 
般 采 用 光纤 ,接口 类 型 一 般 有 两 种 : 以 太 网 RJ-45 接口 和 光纤 接口 ,这 两 种 接口 适合 与 不 
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同类 型 的 网 络 互联 。 如 图 2-23 所 示 为 一 款 ATM 交换 机 产品 。 相 对 于 物美 价 廉 的 以 太 
网 交换 机 而 言 ,ATM 交换 机 的 价格 很 高 ,所 以 在 普通 局 域 网 中 很 少见 到 。 

(6) FDDI 交换 机 

FDDI 技术 是 在 快速 以 太 网 技术 还 没有 开发 出 来 之 前 开发 的 , 它 主要 是 为 了 解决 当 
时 10Mbps 以 太 网 和 16Mbps 令 牌 网 速度 的 局 限 ,因为 它 的 传输 速度 可 达到 100Mbps, 这 
比 当 时 的 另外 两 个 网 络 速度 要 高 出 许多 ,所 以 在 当时 还 是 有 一 定 的 市 场 。 但 它 当 时 采用 
光纤 作为 传输 介质 , 比 起 以 双 绞 线 为 传输 介质 的 网 络 成 本 高 许多 ,所 以 随 着 快速 以 太 网 技 
术 的 成 功 开发 ,FDDI 技术 也 就 失去 了 它 应 有 的 市 场 。 正 因为 如 此 ,FDDI 设备 如 FDDI 
交换 机 也 就 比较 少见 了 ,FDDI 交换 机 用 于 老式 中 、 小 型 企业 的 快速 数据 交换 网 络 中 , 它 
的 接口 形式 都 为 光纤 接口 。 如 图 2-24 所 示 的 是 一 款 3COM 公司 的 FDDI 交换 机 产品 。 


图 2-23 ATM 交换 机 图 2-24 FDDI 交换 机 


2. 根据 应 用 层次 划分 

根据 交换 机 所 应 用 的 网 络 层次 ,可 以 将 网 络 交换 机 分 为 企业 级 交换 机 、 校 园 网 交换 
机 、 部 门 级 交换 机 .工作 组 交换 机 和 桌面 型 交换 机 5 种 。 

(1) 企业 级 交换 机 

企业 级 交换 机 属于 一 类 高 端 交 换 机 ,一般 采用 模块 化 的 结构 ,可 作为 企业 网 络 骨 干 构 
建 高 速 局 域 网 ,所 以 它 通 常用 于 企业 网 络 的 最 顶层 。 

企业 级 交换 机 可 以 提供 用 户 化 定制 ,优先 级 队列 服务 和 网 络 安全 控制 ,并 能 很 快 适应 
数据 增长 和 改变 的 需要 ,从 而 满足 用 户 的 需求 。 对 于 有 更 多 需求 的 网 络 ,企业 级 交换 机 不 
仅 能 传送 海量 数据 和 控制 信息 ,更 具有 硬件 元 余 和 软件 可 伸缩 性 等 特点 ,保证 网 络 的 可 靠 
运行 。 由 于 所 处 的 位 置 非常 重要 ,企业 级 交换 机 在 带宽 ,传输 速率 以 及 背 板 容量 上 要 比 一 
般 的 交换 机 高 出 许多 ,因此 企业 级 交换 机 一 般 都 是 千 兆 以 上 的 以 太 网 交换 机 。 企 业 级 交换 
机 所 采用 的 端口 一 般 都 为 光纤 接口 ,这 主要 是 为 了 保证 交换 机 高 的 传输 速率 。 如 图 2-25 所 
示 为 友 讯 的 一 款 模块 化 千 兆 以 太 网 交换 机 , 它 属于 企业 级 交换 机 范畴 。 

企业 级 交换 机 还 可 以 接 入 一 个 大 底盘 ,这 个 底盘 产品 通常 支持 许多 不 同类 型 的 组 件 ， 
比如 快速 以 太 网 和 以 太 网 中 继 器 、FDDI 集 中 器 、 令 有 牌 环 
MAU 和 路 由 器 。 企 业 级 交换 机 在 建设 企业 级 别 的 网 络 
时 非常 有 用 ,尤其 是 对 需要 支持 一 些 网 络 技术 和 以 前 的 
系统 的 网 络 。 基 于 底盘 设备 通常 有 非常 强大 的 管理 特 
征 , 因 此 非常 适合 于 企业 网 络 的 环境 。 不 过 ,基于 底盘 
设备 的 成 本 都 非常 高 ,很 少 有 中 、 小 型 企业 能 承担 得 起 。 


图 2-25 模块 化 千 兆 以 太 网 交换 机 
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(2) 校园 网 交换 机 

校园 网 交换 机 的 应 用 相对 较 少 ,主要 应 用 于 较 大 型 网 络 , 且 一 般 作为 网 络 的 骨干 交换 
机 。 这 种 交换 机 具有 快速 数据 交换 能 力 和 全 双 工 能 力 , 可 提供 容错 等 智能 特性 ,还 支持 扩 
充 选 项 及 第 三 层 交 换 中 的 虚拟 局 域 网 (VLAN) 等 多 种 功能 。 

这 种 交换 机 因 通 常用 于 分 散 的 校园 网 而 得 名 ,其 实 它 不 一 定 要 应 用 到 校园 网 络 中 ,这 
只 表示 它 主要 应 用 于 物理 距离 分 散 的 较 大 型 网 络 中 。 因 为 校园 网 比较 分 散 , 传 输 距 离 比 
较 长 ,所 以 在 骨干 网 段 上 ,这 类 交换 机 通常 采用 光纤 或 者 同 轴 电 缆 作 为 传输 介质 ,交换 机 
需 提 供 SC 光纤 接口 和 BNC 或 者 AUI 同 轴 电 缆 接口 。 

(3) 部 门 级 交换 机 

部 门 级 交换 机 是 面向 部 门 级 网 络 使 用 的 交换 机 , 它 较 前 面 两 种 交换 机 所 能 应 用 的 网 
络 规模 要 小 许多 。 这 类 交换 机 可 以 是 固定 配置 ,也 可 以 是 模块 配置 ,一 般 除了 常用 的 RJ- 
45 双 绞 线 接口 外 ,还 带 有 光纤 接口 。 部 门 级 交换 机 一 般 具 有 较为 突出 的 智能 型 特点 , 支 
持 基 于 端口 的 VLAN( 虚 拟 局 域 网) ,可 实现 端口 管理 ,可 任意 采用 全 双 工 或 半 双 工 传输 
模式 ,可 对 流量 进行 控制 ,有 网 络 管理 的 功能 ,可 通过 PC 的 串口 或 经 过 网 络 对 交换 机 进 
行 配置 .监控 和 测试 。 如 果 作为 骨干 交换 机 , 则 一 般 认为 支持 300 个 信息 点 以 下 的 中 型 企 
业 的 交换 机 为 部 门 级 交换 机 。 如 图 2-26 所 示 为 一 款 部 门 级 交换 机 产品 。 

(4) 工作 组 交换 机 

工作 组 交换 机 是 传统 集线器 的 理想 替代 产品 ,一 般 为 固定 配置 , 配 有 一 定数 目的 
10Base-T 或 100Base-TX 以 太 网 口 。 交 换 机 按 每 一 个 包 中 的 MAC 地 址 相对 简单 地 决策 
信息 转发 ,这 种 转发 决策 一 般 不 考虑 包 中 隐藏 的 更 深 的 其 他 信息 。 与 集线器 不 同 的 是 交 
换 机 的 转发 延迟 很 小 ,操作 接近 单个 局 域 网 性 能 , 远 远 超 过 了 普通 桥接 互联 网 络 之 间 的 转 
发 性 能 。 

工作 组 交换 机 一 般 没有 网 络 管理 的 功能 ,如 果 作 为 骨干 交换 机 则 一 般 认为 支持 100 
个 信息 点 以 内 的 交换 机 为 工作 组 交换 机 。 如 图 2-27 所 示 为 一 款 快速 以 太 网 工作 组 交换 
机 产品 。 


图 2-26 部 门 级 交换 机 图 2-27 快速 以 太 网 工作 组 交换 机 


(5) 桌面 型 交换 机 

桌面 型 交换 机 是 最 常见 的 一 种 最 低档 的 交换 机 , 它 区 别 于 其 他 交换 机 的 一 个 特点 是 
支持 的 MAC 地 址 很 少 ,通常 端口 数 也 较 少 (一 般 在 12 口 以 内 ) ,只 具备 最 基本 的 交换 机 
特性 ,当然 价格 也 是 最 便宜 的 。 

这 类 交换 机 虽然 在 整个 交换 机 中 属 最 低档 的 ,但 是 相 比 集线器 来 说 , 它 还 是 具有 交换 
机 的 通用 优越 性 ,况且 有 许多 应 用 环境 也 只 需 这 些 基 本 的 性 能 ,所 以 它 的 应 用 还 是 相当 广 
泛 的 。 它 主要 应 用 于 小 型 企业 或 中 型 以 上 企业 办 公 桌 面 。 在 传输 速度 上 ,目前 桌面 型 交 
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换 机 大 都 提供 多 个 具有 10/100Mbps 自 适应 能 力 的 端口 。 如 图 2-28 所 示 为 一 款 不 同 品 
牌 型 号 的 桌面 型 交换 机 产品 。 PT 
3. 根据 交换 机 的 结构 划分 

如 果 按 交换 机 的 端口 结构 来 分 ,交换 机 大 致 可 分 为 
固定 端口 交换 机 和 模块 化 交换 机 两 种 不 同 的 结构 。 还 
有 一 种 是 两 者 兼顾 的 交换 机 , 那 就 是 在 提供 基本 固定 端 
口 的 基础 之 上 再 配备 一 定 的 扩展 插 模 或 模块 。 图 2-28 桌面 型 交换 机 

(1) 固定 端口 交换 机 

固定 端口 顾名思义 就 是 它 所 带 有 的 端口 是 固定 的 ,如 果 是 8 端口 的 ,就 只 能 有 8 个 端 
口 ,不 能 再 添加 。16 个 端口 也 就 只 能 有 16 个 端口 ,不 能 再 扩展 。 目 前 这 种 固定 端口 的 交 
换 机 比较 常见 ,端口 数量 没有 明确 的 规定 ,一 般 的 端口 标准 是 8 端口 .16 端口 和 24 端口 。 
非 标准 的 端口 数 主要 有 4 端口 .5 端口 .10 端口 ,12 端口 .20 端口 .22 端口 和 32 端口 等 。 

固定 端口 交换 机 按 其 安装 架构 又 分 为 桌面 式 交换 机 和 机 架 式 交换 机 。 与 集线器 相 
同 ,机 架 式 交换 机 更 易于 管理 ,更 适用 于 较 大 规模 的 网 络 , 它 的 结构 尺寸 符合 19 英寸 国际 
标准 , 它 与 其 他 交换 设备 或 者 路 由 器 、 服 务 器 等 集中 安装 在 一 个 机 柜 中 。 而 桌面 式 交换 机 
由 于 只 能 提供 少量 端口 且 不 能 安装 于 机 柜 内 , 故 通 常 只 用 于 小 型 网 络 。 如 图 2-29 所 示 为 
一 款 固定 端口 的 交换 机 。 

(2) 模块 化 交换 机 

模块 化 交换 机 虽然 在 价格 上 要 贵 很 多 ,但 拥有 更 大 的 灵活 性 和 可 扩充 性 ,用 户 可 任意 
选择 不 同 数量 ,不 同 速率 和 不 同 接口 类 型 的 模块 ,以 适应 千变万化 的 网 络 需求 。 另 外 ,机 
箱 式 交换 机 大 多 都 有 很 强 的 容错 能 力 ,支持 交换 模块 的 宛 余 备份 ,并 且 往往 拥有 可 热 插 拔 
的 双 电源 ,以 保证 交换 机 的 电力 供应 。 在 选择 交换 机 时 ,应 按照 需要 和 经 费 综合 考虑 选择 
机 箱 式 或 固定 式 。 一 般 来 说 ,企业 级 交换 机 应 考虑 其 扩充 性 .兼容 性 和 排 错 性 ,因此 ,应 当 
选用 机 箱 式 交换 机 ;而 骨干 交换 机 和 工作 组 交换 机 则 由 于 任务 较为 单一 ,可 采用 简单 明了 
的 固定 式 交 换 机 。 如 图 2-30 所 示 为 一 款 模块 化 快速 以 太 网 交换 机 产品 , 它 具 有 4 个 可 插 
拔 模块 ,可 根据 实际 需要 灵活 配置 。 


图 2-29 固定 端口 交换 机 图 2-30 模块 化 快速 以 太 网 交换 机 


4. 根据 交换 机 工作 的 协议 层 划 分 

网 络 设备 都 对 应 工作 在 OSIVRM 开放 模型 的 一 定 层次 上 ,工作 的 层次 越 高 ,说 明 其 
设备 的 技术 性 越 高 ,性 能 也 越 好 ,档次 也 就 越 高 。 交 换 机 也 一 样 , 随 着 交换 技术 的 发 展 , 交 
换 机 由 原来 工作 在 OSI/RM 的 第 二 层 , 发 展 到 现在 可 以 工作 在 第 四 层 的 交换 机 ,所 以 根 
据 工 作 的 协议 层 , 交 换 机 可 分 为 第 二 层 交 换 机 、 第 三 层 交 换 机 和 第 四 层 交 换 机 。 
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(1) 第 二 层 交 换 机 

第 二 层 交 换 机 是 对 应 于 OSI/RM 的 第 二 协议 层 来 定义 的 ,因为 它 只 能 工作 在 OSI/ 
RM 开放 体系 模型 的 第 二 层 (数据 链 路 层 )。 第 二 层 交 换 机 依赖 于 链 路 层 中 的 信息 (如 
MAC 地 址 ) 完 成 不 同 端口 数据 间 的 线 速 交 换 , 主 要 功能 包括 物理 编 址 、 错 误 校 验 、 帧 序列 
以 及 数据 流 控 制 。 这 是 最 原始 的 交换 技术 产品 ,目前 桌面 型 交换 机 一 般 都 属于 这 种 类 型 ， 
因为 桌面 型 交换 机 一 般 来 说 所 承担 的 工作 复杂 性 不 是 很 强 , 又 处 于 网 络 的 最 基层 ,所 以 只 
需要 提供 最 基本 的 数据 链接 功能 即 可 。 目 前 第 二 
层 交 换 机 应 用 最 为 普遍 (主要 是 价格 便宜 ,功能 符 
合 中 、 小 企业 的 实际 应 用 需求 ) ,一 般 应 用 于 小 型 
企业 或 中 型 以 上 企业 网 络 的 桌面 层次 。 如 图 2-31 
所 示 为 一 款 第 二 层 交 换 机 的 产品 。 要 说 明 的 是 ， 
所 有 的 交换 机 在 协议 层次 上 都 是 向 下 兼容 的 ,也 图 2-31 第 二 层 交 换 机 
就 是 说 所 有 的 交换 机 都 能 够 工作 在 第 二 层 。 

(2) 第 三 层 交 换 机 

第 三 层 交 换 机 是 对 应 于 OSI/RM 开放 体系 模型 的 第 三 层 ( 网 络 层 ) 来 定义 的 ,也 就 是 
说 这 类 交换 机 可 以 工作 在 网 络 层 , 它 比 第 二 层 交 换 机 更 加 高 档 , 功 能 更 强 。 第 三 层 交 换 机 
因为 工作 在 OSIVRM 模型 的 网 络 层 ,所 以 它 具 有 路 由 功能 ,将 IP 地 址 信息 提供 给 网 络 路 
径 选 择 ,并 实现 不 同 网 段 间 数据 的 线 速 交 换 。 当 网 络 规模 较 大 时 ,可 以 根据 特殊 应 用 需求 
划分 为 小 的 独立 的 VLAN 网 段 ,以 减 小 广播 所 造成 的 影响 。 通 常 这 类 交换 机 采用 模块 化 
结构 ,以 适应 灵活 配置 的 需要 。 在 大 中 型 网 络 中 ,第 三 层 交换 机 已 经 成 为 基本 配置 设备 。 
如 图 2-32 所 示 为 3COM 公司 的 一 款 第 三 层 交 换 机 产品 。 

(3) 第 四 层 交 换 机 

第 四 层 交换 机 是 采用 第 四 层 交换 技术 而 开发 出 来 的 交换 机 产品 , 它 工 作 在 OSI/RM 
模型 的 第 四 层 , 即 传输 层 ,直接 面 对 具 体 应 用 。 第 四 层 交 换 机 支持 的 协议 是 各 种 各 样 的 ， 
如 HTTP、FTP、Telnet、SSL 等 。 在 第 四 层 交换 机 中 为 每 个 供 搜寻 使 用 的 服务 器 组 设立 
虚拟 IP 地 址 (VIP) ,每 组 服务 器 支持 某 种 应 用 。 在 域名 服务 器 (DNS) 中 存储 的 每 个 应 用 
服务 器 地 址 是 VIP ,而 不 是 真实 的 服务 器 地 址 。 当 某 用 户 申请 应 用 时 ,将 一 个 带 有 目标 服 
务 器 组 的 VIP 连接 请 求 ( 例 如 一 个 TCP SYN 包 ) 发 给 服务 器 交换 机 。 服 务 器 交换 机 在 组 
中 选择 最 好 的 服务 器 ,将 终端 地 址 中 的 VIP 用 实际 服务 器 的 IP 取代 ,并 将 连接 请 求 传 给 
服务 器 。 这 样 同 一 区 间 内 所 有 的 包 由 服务 器 交换 机 进行 映射 ,在 用 户 和 同一 服务 器 间 进 行 
传输 。 如 图 2-33 所 示 为 一 款 第 四 层 交换 机 产品 ,从 图 中 可 以 看 出 它 也 是 采用 模块 化 结构 。 


图 2-32 第 三 层 交 换 机 图 2-33 第 四 层 交换 机 
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第 四 层 交 换 技术 相对 于 原来 的 第 二 层 、 第 三 层 交 换 技术 具有 明显 的 优点 ,从 操作 方面 
来 看 ,第 四 层 交 换 机 是 稳固 的 ,因为 它 将 包 控制 在 从 源 端 到 宿 端 的 区 间 中 。 另 一 方面 ,路 
由 器 或 第 三 层 交 换 机 只 针对 单一 的 包 进 行 处 理 , 不 清楚 上 一 个 包 从 哪 来 ,也 不 知道 下 一 个 
包 的 情况 。 它 们 只 是 检测 包 报 头 中 的 TCP 端口 数字 ,根据 应 用 建立 优先 级 队列 ,路 由 器 
根据 链 路 和 网 络 可 用 的 节点 决定 包 的 路 由 ;而 第 四 层 交 换 机 则 是 在 可 用 的 服务 器 和 性 能 
基础 上 先 确定 区 间 。 


5. 根据 是 否 支持 网 管 功 能 划分 

如 果 按 交换 机 是 否 支持 网 络 管理 功能 进行 划分 ,可 以 将 交换 机 分 为 网 管 型 和 非 网 管 
型 两 大 类 。 

网 管 型 交换 机 的 任务 是 使 所 有 的 网 络 资源 处 于 良好 的 状态 。 网 管 型 交换 机 产品 提供 
了 基于 终端 控制 端口 (Console) .基于 Web 页 面 以 及 支持 Telnet 远程 登录 网 络 等 多 种 网 
络 管理 方式 ,因此 网 络 管理 人 员 可 以 对 该 交换 机 的 工作 状态 .网络 运行 状况 进行 本 地 或 远 
程 的 实时 监控 , 纵 观 全 局 地 管理 所 有 交换 机 端口 的 工作 状态 和 工作 模式 。 网 管 型 交换 机 
支持 SNMP 协议 ,SNMP 协议 由 一 整套 简单 的 网 络 通信 规范 组 成 ,可 以 完成 所 有 基本 的 
网 络 管理 任务 ,对 网 络 资源 的 需求 量 少 , 具 备 一 些 安全 机 制 。SNMP 协议 的 工作 机 制 非 
常 简单 ,主要 通过 各 种 不 同类 型 的 消息 即 PDU( 协 议 数据 单位 ) 实 现 网 络 信息 的 交换 。 但 
是 网 管 型 交换 机 相对 于 介绍 的 非 网 管 型 交换 机 来 说 要 贵 许多 。 

网 管 型 交换 机 采用 授 入 式 远程 监视 (RMON) 标 准 用 于 跟踪 流量 和 会 话 , 对 决定 网 络 
中 的 瓶颈 和 阻塞 点 是 很 有 效 的 。 软 件 代理 支持 4 个 RMON 组 (历史 、 统 计数 字 、 警 报 和 
事件 ) ,从 而 增强 了 流量 管理 ,监视 和 分 析 。 统 计数 字 是 一 般 网 络 流量 统计 ;历史 是 一 定时 
间 间 隔 内 网 络 流量 统计 ;警报 可 以 在 预 设 的 网 络 参数 极限 值 被 超过 时 进行 报警 ;事件 代表 
管理 事件 。 

网 管 型 交换 机 提供 基于 策略 的 QoS(Quality of Service) 。 策 略 是 指控 制 交换 机 行为 
的 规则 ,网 络 管理 员 利用 策略 为 应 用 流 分 配 带宽 ,优先 级 以 及 控制 网 络 访问 ,其 重点 是 满 
足 服务 水 平 协议 所 需 的 带宽 管理 策略 及 向 交换 机 发 布 策略 的 方式 。 在 交换 机 的 每 个 端口 
处 用 来 表示 端口 状态 、 半 双 工 /全 双 工 和 10BaseT/100BaseT 的 多 功能 发 光 二 极 管 (LED) 
以 及 表示 系统 ,元 余 电源 (RPS) 和 带宽 利用 率 的 交换 级 状态 LED 形成 了 全 面 . 方 便 的 可 
视 管理 系统 。 目 前 大 多 数 部 门 级 以 下 的 交换 机 多 数 都 是 非 网 管 型 的 ,只 有 企业 级 及 少数 
部 门 级 的 交换 机 支持 网 管 功能 。 
2.3.3 二 层 / 三 层 交 换 技 术 与 路 由 器 的 比较 

为 了 适应 网 络 应 用 深化 带 来 的 挑战 ,网 络 在 规模 和 速度 方向 上 都 在 急剧 发 展 ,局域网 
的 速度 已 从 最 初 的 10Mbps 提高 到 100Mbps, 目 前 千 兆 以 太 网 技术 已 得 到 普遍 应 用 。 

在 网 络 结构 方面 ,也 从 早期 的 共享 介质 的 局 域 网 发 展 到 目前 的 交换 式 局 域 网 。 交 换 
式 局 域 网 技术 使 专用 的 带宽 为 用 户 所 独 享 , 极 大 地 提高 了 局 域 网 传输 的 效率 。 可 以 说 ,在 
网 络 系 统 集 成 的 技术 中 ,直接 面向 用 户 的 第 一 层 接口 和 第 二 层 交换 技术 方面 已 得 到 令 人 
满意 的 答案 。 但 是 ,作为 网 络 核 心 并 起 到 网 间 互 联 作用 的 路 由 器 技术 却 没 有 质 的 突破 。 
在 这 种 情况 下 ,一 种 新 的 路 由 技术 应 运 而 生 , 这 就 是 第 三 层 交 换 技 术 。 说 它 是 路 由 器 , 因 
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为 它 可 操作 在 网 络 协议 的 第 三 层 , 是 一 种 路 由 理解 设备 并 可 起 到 路 由 决定 的 作用 ;说 它 是 
交换 机 ,是 因为 它 的 速度 极 快 , 几 乎 达到 第 二 层 交 换 机 的 速度 。 二 层 交 换 机 、 三 层 交 换 机 
和 路 由 器 这 三 种 技术 究竟 谁 优 谁 劣 ,它们 各 自 适 用 在 什么 环境 呢 ? 下面 将 结合 三 种 技术 
的 工作 原理 进行 分 析 。 

1. 二 层 交 换 技 术 

二 层 交 换 机 是 数据 链 路 层 的 设备 , 它 能 够 读 取 数 据 包 中 的 MAC 地 址 信息 并 根据 
MAC 地 址 来 进行 交换 。 

交换 机 内 部 有 一 个 地 址 表 , 这 个 地 址 表 标 明了 MAC 地 址 和 交换 机 端口 的 对 应 关系 。 
当 交 换 机 从 某 个 端口 收 到 一 个 数据 包 时 , 它 首先 读 取 包 头 中 的 源 MAC 地 址 ,这 样 就 知道 
源 MAC 地 址 的 机 器 是 连 在 哪个 端口 上 的 ,然后 再 去 读 取 包 头 中 的 目的 MAC 地 址 ,并 在 
地 址 表 中 查找 相应 的 端口 。 如 果 表 中 有 与 这 个 目的 MAC 地 址 对 应 的 端口 , 则 把 数据 包 
直接 复制 到 这 个 端口 上 ;如 果 在 表 中 找 不 到 相应 的 端口 , 则 把 数据 包 广 播 到 所 有 端口 上 。 
当 目 的 机 器 对 源 机 器 作出 回应 时 ,交换 机 又 可 以 学 习 该 目的 MAC 地 址 与 哪个 端口 对 应 ， 
在 下 次 传送 数据 时 就 不 需要 对 所 有 端口 进行 广播 。 

二 层 交 换 机 就 是 这 样 建立 和 维护 它 自己 的 地 址 表 。 由 于 二 层 交 换 机 一 般 具 有 很 宽 的 
交换 总 线 带宽 ,所 以 可 以 同时 为 很 多 端口 进行 数据 交换 。 如 果 二 层 交 换 机 有 N 个 端口 ， 
每 个 端口 的 带宽 是 M, 而 它 的 交换 机 总 线 带 宽 超过 NX M, 那 么 这 个 交换 机 就 可 以 实现 
线 速 交 换 。 二 层 交 换 机 对 广播 包 是 不 进行 限制 的 ,可 把 广播 包 复 制 到 所 有 端口 上 。 

二 层 交换 机 一 般 都 含有 专门 用 于 处 理 数 据 包 转发 的 ASIC (Application Specific 
Integrated Circuit) 芯 片 ,因此 转发 速度 可 以 达到 非常 快 。 


2. 路 由 技术 

路 由 器 是 在 OSI 七 层 网 络 模型 中 的 第 三 层 一 一 网 络 层 操作 的 。 

路 由 器 内 部 有 一 个 路 由 表 , 这 个 表 标明 了 如 果 要 去 某 个 地 方 ,下 一 步 应 该 往 哪 走 。 路 
由 器 从 某 个 端口 收 到 一 个 数据 包 , 它 首先 把 链 路 层 的 包头 去 掉 ( 拆 包 ), 读 取 目 的 IP 地 址 ， 
然后 查找 路 由 表 , 若 能 确定 下 一 步 往 哪 送 , 则 再 加 上 链 路 层 的 包头 (打包 ) ,把 该 数据 包 转 
发 出 去 ;如 果 不 能 确定 下 一 步 的 地 址 , 则 向 源 地 址 返回 一 个 信息 ,并 把 这 个 数据 包 丢 掉 。 

路 由 技术 和 二 层 交 换 看 起 来 有 点 相似 ,其 实 路 由 和 交换 之 间 的 主要 区 别 就 是 交换 发 
生 在 OSI 参考 模型 的 第 二 层 (数据 链 路 层 ) ,而 路 由 发 生 在 第 三 层 。 这 一 区 别 决定 了 路 由 
和 交换 在 传送 数据 的 过 程 中 需要 使 用 不 同 的 控制 信息 ,所 以 两 者 实现 各 自 功能 的 方式 是 
不 同 的 。 

路 由 技术 是 由 两 项 最 基本 的 活动 组 成 , 即 决定 最 优 路 径 和 传输 数据 包 。 其 中 ,数据 包 
的 传输 相对 较为 简单 和 直接 ,而 路 由 的 确定 则 更 加 复杂 一 些 。 路 由 算法 在 路 由 表 中 写 人 
各 种 不 同 的 信息 ,路 由 器 会 根据 数据 包 所 要 到 达 的 目的 地 选择 最 佳 路径 把 数据 包 发 送 到 
可 以 到 达 该 目的 地 的 下 一 台 路 由 器 处 。 当 下 一 台 路 由 器 接收 到 该 数据 包 时 ,也 会 查看 其 
目标 地 址 ,并 使 用 合适 的 路 径 继续 传送 给 后 面 的 路 由 器 。 依 次 类 推 ,直到 数据 包 到 达 最 终 
目的 地 。 

路 由 器 之 间 可 以 进行 相互 通信 ,而 且 可 以 通过 传送 不 同类 型 的 信息 维护 各 自 的 路 由 


AN 


表 。 路 由 更 新 信息 就 是 这 样 一 种 信息 ,一般 是 由 部 分 或 全 部 路 由 表 组 成 。 通 过 分 析 其 他 
路 由 器 发 出 的 路 由 更 新 信息 ,路 由 器 可 以 掌握 整个 网 络 的 拓扑 结构 。 链 路 状态 广播 是 另 
外 一 种 在 路 由 器 之 间 传 递 的 信息 , 它 可 以 把 信息 发 送 方 的 链 路 状态 及 时 地 通知 给 其 他 路 
由 器 。 

3. 三 层 交 换 技术 

一 个 具有 第 三 层 交 换 功能 的 设备 是 一 个 带 有 第 三 层 路 由 功能 的 第 二 层 交 换 机 ,但 它 
是 二 者 的 有 机 结合 ,并 不 是 简单 地 把 路 由 器 设备 的 硬件 及 软件 释 加 在 局 域 网 交换 机 上 。 

从 硬件 上 看 ,第 二 层 交换 机 的 接口 模块 都 是 通过 高 速 背 板 / 总 线 (速率 可 高 达 几 十 
Gbps) 交 换 数据 的 ,在 第 三 层 交 换 机 中 ,与 路 由 器 有 关 的 第 三 层 路 由 硬件 模块 也 插 接 在 高 
速 背 板 / 总 线 上 ,这 种 方式 使 得 路 由 模块 可 以 与 需要 路 由 的 其 他 模块 间 高 速 地 交换 数据 ， 
从 而 突破 了 传统 的 外 接 路 由 器 接口 速率 的 限制 。 在 软件 方面 .第 三 层 交 换 机 也 有 重大 的 
举措 , 它 将 传统 的 基于 软件 的 路 由 器 软件 进行 了 界定 。 

其 解决 方法 如 下 : 

Q@ 对 于 数据 包 的 转发 如 IP/IPX 包 的 转发 ,这 些 规律 的 过 程 通过 硬件 得 以 高 速 实现 。 

@ 对 于 第 三 层 路 由 软件 如 路 由 信息 的 更 新 、 路 由 表 维 护 、 路 由 计算 、 路 由 的 确定 等 功 
能 ,用 优化 、 高 效 的 软件 实现 。 

假设 两 个 使 用 IP 协议 的 机 器 通过 第 三 层 交 换 机 进行 通信 的 过 程 ,机 器 A 在 开始 发 
送 时 ,已 知 目的 IP 地址 ,但 尚 不 知道 在 局 域 网 上 发 送 所 需要 的 MAC 地 址 ,要 采用 地 址 解 
析 (ARP) 来 确定 目的 MAC 地址。 机 器 A 把 自己 的 IP 地 址 与 目的 IP 地 址 比较 ,从 其 软 
件 中 配置 的 子 网 掩 码 中 提取 出 网 络 地 址 ,来 确定 目的 机 器 是 否 与 自己 在 同一 子 网 内 。 若 
目的 机 器 B 与 机 器 A 在 同一 子 网 内 .A 广播 一 个 ARP 请 求 ,B 返回 其 MAC 地 址 ,人 A 得 到 
目的 机 器 BB 的 MAC 地 址 后 将 这 一 地 址 缓存 起 来 ,并 用 此 MAC 地 址 封包 转发 数据 ,第 二 
层 交换 模块 查找 MAC 地 址 表 确 定 将 数据 包 发 向 目的 端口 。 若 两 个 机 器 不 在 同一 子 网 
内 ,如 发 送 机 器 A 要 与 目的 机 器 C 通信 ,发送 机 器 A 要 向 “默认 网 关 ” 发 出 ARP 包 , 而 
“默认 网 关 ” 的 IP 地 址 已 经 在 系统 软件 中 设置 。 这 个 IP 地 址 实际 上 对 应 第 三 层 交换 机 的 
第 三 层 交 换 模块 ,所 以 当 发 送 机 器 A 对 “默认 网 关 ” 的 IP 地 址 广播 出 一 个 ARP 请 求 时 ， 
若 第 三 层 交 换 模块 在 以 往 的 通信 过 程 中 已 得 到 目的 机 器 C 的 MAC 地 址 , 则 向 发 送 机 器 
A 回复 C 的 MAC 地址 ;否则 第 三 层 交 换 模块 根据 路 由 信息 向 目的 机 器 广播 一 个 ARP 请 
求 ,目的 机 器 C 得 到 此 ARP 请 求 后 向 第 三 层 交 换 模 块 回复 其 MAC 地 址 ,第 三 层 交 换 模 
块 保存 此 地 址 并 回复 给 发 送 机 器 A。 以 后 , 当 再 进行 A 与 C 之 间 的 数据 包 转 发 时 ,将 用 
最 终 的 目的 机 器 的 MAC 地 址 封装 ,数据 转发 过 程 全 部 交 给 第 二 层 交 换 处 理 , 信 息 得 以 高 
速 交 换 , 即 所 谓 的 一 次 选 路 ,多 次 交换 。 

第 三 层 交 换 具有 以 下 突出 特点 : 

@ 有 机 的 硬件 结合 使 得 数据 交换 加 速 。 

@ 优化 的 路 由 软件 使 得 路 由 过 程 效率 提高 。 

@ 除了 必要 的 路 由 决定 过 程 外 ,大 部 分 数据 转发 过 程 由 第 二 层 交换 处 理 。 

@ 多 个 子 网 互联 时 只 是 与 第 三 层 交 换 模块 逻辑 连接 ,不 像 传统 的 外 接 路 由 器 那样 需 
增加 端口 ,节省 了 用 户 的 投资 。 
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4. 三 种 技术 的 对 比 


可 以 看 出 ,二 层 交 换 机 主要 应 用 在 小 型 局 域 网 中 ,机 器 数量 在 二 三 十 台 以 下 ,这 样 的 
网 络 环境 下 ,广播 包 影响 不 大 ,二 层 交 换 机 的 快速 交换 功能 、 多 个 接 人 端口 和 低廉 的 价格 
为 小 型 网 络 用 户 提供 了 很 完善 的 解决 方案 。 在 这 种 小 型 网 络 中 根本 没 必要 引入 路 由 功能 
从 而 增加 管理 的 难度 和 费用 ,所 以 没有 必要 使 用 路 由 器 ,当然 也 没有 必要 使 用 三 层 交 
换 机 。 

三 层 交 换 机 是 为 IP 设计 的 ,接口 类 型 简单 ,拥有 很 强 的 二 层 包 处 理 能 力 , 所 以 适用 于 
大 型 局 域 网 。 为 了 减 小 广播 风暴 的 危害 ,必须 把 大 型 局 域 网 按 功能 或 地 域 等 因素 划分 成 
一 个 一 个 的 小 局 域 网 ,也 就 是 一 个 一 个 的 小 网 段 , 这 样 必然 导致 不 同 网 段 之 间 存 在 大 量 的 
互 访 。 单 纯 使 用 二 层 交 换 机 没 办 法 实现 网 间 的 互 访 ,而 单纯 使 用 路 由 器 。 则 由 于 端口 数 
量 有 限 , 路 由 速度 较 慢 ,而 限制 了 网 络 的 规模 和 访问 速度 ,在 这 种 环境 下 ,由 二 层 交 换 技术 
和 路 由 技术 有 机 结合 而 成 的 三 层 交 换 机 就 最 为 适合 。 

路 由 器 端口 类 型 多 ,支持 的 三 层 协议 较 多 ,路 由 能 力 较 强 ,所 以 适合 于 大 型 网 络 之 间 
的 互 连 ,虽然 不 少 三 层 交换 机 甚至 二 层 交 换 机 都 有 异 质 网 络 的 互 连 端口 ,但 一 般 大 型 网 络 
的 互 连 端口 不 多 , 互 连 设备 的 主要 功能 不 是 在 端口 之 间 进 行 快速 交换 ,而 是 要 选择 最 佳 路 
径 ,进行 负载 分 担 、 链 路 备份 和 最 重要 的 与 其 他 网 络 进行 路 由 信息 交换 ,所 有 这 些 都 是 路 
由 完成 的 。 

在 这 种 情况 下 ,自然 不 可 能 使 用 二 层 交换 机 ,但 是 否 使 用 三 层 交 换 机 则 视 具 体 情 况 而 
定 。 影 响 的 因素 主要 有 网 络 流量 、 响 应 速度 要 求 和 投资 预算 等 。 三 层 交 换 机 最 重要 的 功 
能 是 加 快 大 型 局 域 网 内 部 的 数据 交换 ,添加 的 路 由 功能 也 是 为 这 一 功能 服务 的 ,所 以 它 的 
路 由 功能 没有 同一 档次 的 专业 路 由 器 强 。 在 网 络 流量 很 大 的 情况 下 ,如 果 三 层 交 换 机 既 
做 网 内 的 交换 ,又 做 网 间 的 路 由 ,必然 会 大 大 加 重 它 的 负担 ,影响 响应 速度 。 在 网 络 流量 
很 大 ,但 又 要 求 响应 速度 很 高 的 情况 下 ,由 三 层 交 换 机 做 网 内 的 交换 ,由 路 由 器 专门 负责 
网 间 的 路 由 工作 ,这 样 可 以 充分 发 挥 不 同 设备 的 优势 ,是 一 个 很 好 的 配合 。 当 然 , 如 果 受 
到 投资 预算 的 限制 ,由 三 层 交 换 机 兼 做 网 间 互 联 ,也 是 个 不 错 的 选择 。 

2.3.4 交换 机 在 网 络 中 的 连接 

由 前 面 介绍 的 高 校 的 网 络 拓扑 图 (如 图 2-1 所 示 ) 及 交换 机 的 基本 功能 可 以 看 出 , 交 
换 机 在 网 络 中 是 具有 举足轻重 地 位 的 交换 设备 。 

核心 交换 机 位 于 网 络 中 的 核心 位 置 .汇聚 交换 机 一 般 位 于 各 个 楼 宇 间 ,根据 距离 和 实 
际 情况 ,汇聚 交换 机 可 以 通过 单 模 光 纤 、 多 模 光纤 、 超 5 类 双 绞 线 或 6 类 双 绞 线 和 核心 交 
换 机 进行 互 连 。 核 心 交换 机 是 整个 学 校 网络 中 不 同 子 网 之 间 数 据 交 换 的 必 经 通道 ,也 是 
每 台 计算 机 访问 外 网 的 必 经 通道 ,所 以 核心 交换 机 的 高 速 转发 和 高 性 能 ,以 及 良好 地 稳定 
性 是 必须 的 。 为 了 提高 稳定 性 和 性 能 ,核心 交换 机 可 通过 主 备 模式 或 采用 双核 的 交换 机 

当 把 位 于 一 栋 楼 宇内 的 汇聚 交换 机 连接 到 网 络 中 心机 房 的 核心 交换 机 上 时 ,一 般 采 
用 光纤 连接 。 如 果 两 台 交 换 机 都 提供 了 光纤 接口 ,直接 连接 即 可 。 如 果 交 换 机 仅仅 提供 
了 RJ-45 接口 ,此 时 ,需要 采用 光电 转换 器 进行 光 信 号 和 电信 号 的 转换 。 在 100Mbps 快 


速 以 太 网 的 100 BASE-FX 标准 下 ,多 模 光 纤 连 接 的 最 大 距离 为 550m, 单 模 光 纤 连 接 的 最 
大 距离 为 3km。 在 传输 中 使 用 4B/5B 编码 方式 ,信号 频率 为 125MHz。 它 使 用 MIC/ 
FDDI 连接 器 、ST 连接 器 或 SC 连接 器 。 在 千 兆 以 太 网 的 1000Base-LX 2 标准 下 ,多 模 光 
纤 的 传输 距离 约 为 550m, 单 模 光 纤 的 传输 距离 约 为 5km。 

核心 交换 机 和 出 口 路 由 器 一 般 采 用 双 绞 线 连接 即 可 。 现 在 的 交换 机 通常 都 有 自 适应 
模式 ,所 以 采用 直通 双 绞 线 或 交叉 双 绞 线 都 可 以 ,当然 也 可 能 存在 特殊 的 情况 ,直接 测试 
下 即 可 判断 采用 何 种 双 绞 线 。 

每 栋 楼 宇 之 内 交换 机 之 间 的 互 连 一 般 采 用 双 绞 线 。 在 连接 时 ,可 采用 直通 线 ,通过 下 
级 交换 机 的 Uplink 接口 直接 连接 上 级 交换 机 的 普通 接口 。Uplink 接口 和 交换 机 的 第 一 
个 接口 共用 一 个 通道 , 当 使 用 Uplink 接口 时 ,交换 机 的 第 一 个 普通 接口 就 不 能 再 使 用 。 
如 果 下 级 的 交换 机 没有 提供 Uplink 接口 ,此 时 需要 做 一 条 反 绞 线 来 把 两 台 交换 机 的 普通 
接口 进行 连接 。 

用 户 的 计算 机 要 连接 到 交换 机 ,直接 使 用 直通 的 双 绞 线 把 计算 机 的 网 卡 和 交换 机 互 
连 即 可 。 

交换 机 的 配置 和 管理 将 在 第 4 章 介 绍 。 


2.4 ”服务 器 简介 


服务 器 是 一 种 高 性 能 计算 机 , 它 作为 网 络 的 节点 ,存储 、 处 理 网 络 中 80% 的 数据 、 信 
息 , 因 此 它 也 被 称 为 网 络 的 灵魂 。 服 务 器 的 构成 与 微型 计算 机 基本 相似 ,有 处 理 器 、 硬 盘 、 
内 存 、 系 统 总 线 等 ,但 它们 是 针对 具体 的 网 络 应 用 特别 定制 的 ,因而 服务 器 与 微型 计算 机 
在 处 理 能 力 , 稳 定性、 可 靠 性 ,安全 性 .可 扩展 性 ,可 管理 性 等 方面 存在 的 差异 很 大 。 

服务 器 的 种 类 是 多 种 多 样 的 ,适用 于 各 种 不 同 功能 ,不 同 应 用 环境 下 的 特定 服务 器 不 
断 涌现 。 按 不 同 的 分 类 标准 ,服务 器 主要 分 为 以 下 几 类 。 
2.4.1 按 应 用 层次 划分 

按 应 用 层次 划分 通常 也 称 为 按 服 务 器 档次 划分 或 按 网 络 规模 划分 ,是 服务 器 最 为 普 
遍 的 一 种 划分 方法 , 它 主要 根据 服务 器 在 网 络 中 应 用 的 层次 (或 服务 器 的 档次 ) 来 划分 。 
这 里 所 指 的 服务 器 档次 并 不 是 按 服务 器 CPU 主 频 高 低 来 划分 ,而 是 依据 整个 服务 器 的 
综合 性 能 ,特别 是 所 采用 的 一 些 服务 器 专用 技术 来 衡量 的 。 按 这 种 划分 方法 ,服务 器 可 分 
为 人 门 级 服务 器 .工作 组 级 服务 器 、 部 门 级 服务 器 .企业 级 服务 器 。 


1. 入 门 级 服务 器 

这 类 服务 器 是 最 基础 的 一 类 服务 器 ,也 是 最 低档 的 服务 器 。 随 着 PC 技术 的 日 益 提 
高 ,现在 许多 入 门 级 服务 器 与 PC 的 配置 差不多 ,所 以 目前 也 有 部 分 人 认为 入 门 级 服务 器 
与 PC 服务 器 等 同 。 

这 类 服务 器 所 包含 的 服务 器 特性 并 不 是 很 多 ,通常 只 具备 以 下 几 方 面 特点 : 

Q@ 有 一 些 基 本 硬件 的 元 余 , 如 硬盘 电源、 风扇 等 ,但 不 是 必须 的 。 

@ 通常 采用 SCSI 接口 硬盘 ,现在 也 有 采用 SATA 串 行 接口 的 。 
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名 部 分 部 件 支持 热 插 拔 ,如 硬盘 和 内 存 等 ,这 些 也 不 是 必须 的 。 

@ 通常 只 有 一 个 CPU ,但 不 是 绝对 的 ,如 SUN 的 入 门 级 服务 器 有 的 可 支持 到 两 个 
处 理 器 。 

@ 内 存 容量 也 不 会 很 大 ,一 般 在 1GB 以 内 ,但 通常 会 采用 带 ECC 纠 错 技术 的 服务 器 
专用 内 存 。 

这 类 服务 器 主要 使 用 Windows 或 者 NetWare 网 络 操作 系统 ,可 以 充分 满足 办 公 室 
型 的 中 小 型 网 络 用 户 的 文件 共享 .数据 处 理 Internet 接 入 及 简单 数据 库 应 用 的 需求 。 这 
种 服务 器 与 一 般 的 PC 机 相似 ,有 很 多 小 型 公司 直接 用 一 台 高 性 能 的 品牌 PC 作为 服务 
器 ,所 以 这 种 服务 器 无 论 在 性 能 上 ,还 是 价格 上 都 与 一 台 高 性 能 PC 品牌 机 相差 无 几 , 如 
DELL 最 新 的 PowerEdge4000 SC 服务 器 。 

入 门 级 服务 器 所 连 的 终端 比较 有 限 (通常 为 20 台 左 右 ) ,况且 稳定 性 、 可 扩展 性 以 及 
容错 了 元 余 性 能 较 差 , 仅 适 用 于 没有 大 型 数据 库 数据 交换 ,日 常 工作 网 络 流量 不 大 , 且 无 须 
长 期 不 间断 开机 的 小 型 企业 。 这 种 服务 器 一 般 采用 Intel 的 专用 服务 器 CPU 芯片 ,是 基 
于 Intel 架构 (俗称 *IA 结构 ”) 的 ,当然 这 并 不 是 一 个 硬性 标准 规定 ,而 是 由 于 服务 器 的 应 
用 层次 需要 和 价位 的 限制 。 


2. 工作 组 级 服务 器 

工作 组 级 服务 器 是 一 个 比 入 门 级 高 一 个 层次 的 服务 器 ,但 仍 属于 低档 服务 器 。 从 这 
个 名 字 也 可 以 看 出 , 它 只 能 连接 一 个 工作 组 (50 台 左 右 ) 的 用 户 , 网 络 规模 较 小 ,服务 器 的 
稳定 性 不 如 企业 级 服务 器 。 工 作 组 级 服务 器 具有 以 下 几 方 面 的 特点 : 

QO@ 通常 仅 支持 单 或 双 CPU 结构 的 应 用 服务 器 。 

@ 可 支持 大 容量 的 ECC 内 存 和 增强 服务 器 管理 功能 的 SM 总 线 。 

@ 功能 较 全 面 ,可 管理 性 强 , 且 易于 维护 。 

@ 采用 Intel 服务 器 CPU 和 Windows/NetWare 网 络 操作 系统 ,但 也 有 一 部 分 采用 
UNIX 系列 操作 系统 。 

@@ 可 以 满足 中 小 型 网 络 用 户 的 数据 处 理 文件 共享 .Internet 接 入 及 简单 数据 库 应 用 
的 需求 。 

工作 组 级 服务 器 较 入 门 级 服务 器 来 说 性 能 有 所 提高 ,功能 有 所 增强 ,有 一 定 的 可 扩展 
性 ,但 容错 和 元 余 性 能 仍 不 完善 ,也 不 能 满足 大 型 数据 库 系 统 的 应 用 ,一 般 相当 于 2 一 3 台 
高 性 能 的 PC 品牌 机 的 总 价 。 该 系列 服务 器 针对 小 型 企业 的 计算 需求 和 预算 而 设计 ,性 
能 和 可 扩展 性 使 其 可 以 随 应 用 的 需要 .如 文件 和 打印 .电子 邮件 .订单 处 理 和 电子 贸易 等 
的 需要 而 扩展 。 属 于 工作 组 级 别 的 服务 器 有 HP LC2000 工作 组 服务 器 、HP 的 ProLiant 
ML350G3 工作 组 服务 器 ,万 全 T200 2100 工作 组 服务 器 等 。 


3. 部 门 级 服务 器 

这 类 服务 器 属于 中 档 服务 器 之 列 ,一 般 都 支持 双 CPU 以 上 的 对 称 处 理 器 结构 ,具备 
比较 完整 的 硬件 配置 ,如 磁盘 阵列 ,存储 托 架 等 。 部 门 级 服务 器 的 最 大 特点 就 是 ,除了 具 
有 工作 组 级 服务 器 全 部 的 服务 器 特点 外 ,还 集成 了 大 量 的 监测 及 管理 电路 ,具有 全 面 的 服 
务 器 管理 能 力 ,可 监测 如 温度 .电压 \ 风 扇 . 机 箱 等 状态 参数 ,结合 标准 服务 器 管理 软件 ,使 


管理 人 员 及 时 了 解 服务 器 的 工作 状况 。 同 时 ,大 多 数 部 门 级 服务 器 具有 优良 的 系统 扩展 
性 ,能 够 满足 用 户 在 业务 量 迅 速 增 大 时 及 时 在 线 升级 系统 ,充分 保护 用 户 的 投资 。 它 是 企 
业 网 络 中 分 散 的 各 基层 数据 采集 单位 与 最 高 层 的 数据 中 心 保 持 顺利 连通 的 必要 环节 ,一 
般 为 中 型 企业 的 首选 ,也 可 用 于 金融 .邮电 等 行业 。 

部 门 级 服务 器 一 般 采 用 IBM、SUN 或 HP 各 自 开 发 的 CPU 芯片 ,这 类 芯片 一 般 是 
RISC 结构 ,所 采用 的 操作 系统 一 般 是 UNIX 系列 操作 系统 ,现在 Linux 也 在 部 门 级 服务 
器 中 得 到 了 广泛 应 用 。 生 产 部 门 级 服务 器 的 国外 厂家 有 IBM、HP、SUN、COMPAQ( 现 
在 也 已 并 入 HP) ,国内 厂家 有 联想 .曙光 浪潮 等 。 

部 门 级 服务 器 可 连接 100 个 左右 的 计算 机 用 户 , 适 用 于 对 处 理 速度 和 系统 可 靠 性 高 
一 些 的 中 小 型 企业 网 络 ,其 硬件 配置 相对 较 高 ,可 靠 性 比 工 作 组 级 服务 器 要 高 一 些 , 当 然 
其 价格 也 较 高 (通常 为 5 台 左右 高 性 能 PC 价格 的 总 和 )。 由 于 这 类 服务 器 需要 安装 比较 
多 的 部 件 , 所 以 机 箱 通常 较 大 。 

属于 部 门 级 服务 器 的 如 IBM Netfinity 5100 部 门 级 服务 器 .DELL PowerEdge 4600 
部 门 级 服务 器 等 。 


4. 企业 级 服务 器 

企业 级 服务 器 属于 高 档 服 务 器 行列 , 正 因 如 此 ,能 生产 这 种 服务 器 的 企业 不 是 很 多 ， 
企业 级 服务 器 最 起 码 是 采用 4 个 以 上 CPU 的 对 称 处 理 器 结构 ,有 的 高 达 几 十 个 。 一 般 还 
具有 独立 的 双 PCI 通道 和 内 存 扩 展板 设计 ,具有 高 内 存 带宽 .大 容量 热 插 拔 硬盘 和 热 插 
拔 电 源 、 超 强 的 数据 处 理 能 力 和 群集 性 能 等 。 企 业 级 服务 器 的 机 箱 更 大 ,一 般 为 机 柜 式 
的 ,有 的 还 由 几 个 机 柜 组 成 , 像 大 型 机 一 样 。 

企业 级 服务 器 产品 除了 具有 部 门 级 服务 器 全 部 的 服务 器 特性 外 ,最 大 的 特点 就 是 它 
还 具有 高 度 的 容错 能 力 ,优良 的 扩展 性 能 、 故 障 预报 警 功 能 、 在 线 诊断 功能 ,而 且 RAM、 
PCI、CPU 等 具有 热 插 拔 性 能 。 有 的 企业 级 服务 器 还 引入 了 大 型 计算 机 的 许多 优良 特性 ， 
如 IBM 和 SUN 公司 的 企业 级 服务 器 。 这 类 服务 器 所 采用 的 芯片 也 都 是 几 大 服务 器 
发 .生产 厂商 自己 开发 的 独 有 CPU 芯片 ,所 采用 的 操作 系统 一 般 是 UNIX(Solaris ) 或 
Linux。 目 前 在 全 球 范围 内 能 生产 高 档 企业 级 服务 器 的 厂商 也 只 有 IBM、HP、SUN 这 么 
几 家 , 绝 大 多 数 国内 外 厂家 的 企业 级 服务 器 都 只 能 算是 中 ,低档 企业 级 服务 器 。 企 业 级 服 
务 器 适合 运行 在 需要 处 理 大 量 数据 、 高 处 理 速 度 和 对 可 靠 性 要 求 极 高 的 金融 ,证 券 、 交 通 、 
邮电 、 通 信和 或 大 型 企业 。 

企业 级 服务 器 用 于 联网 计算 机 在 数 百 台 以 上 ,对 处 理 速度 和 数据 安全 要 求 非常 高 的 
大 型 网 络 。 企 业 级 服务 器 的 硬件 配置 最 高 ,系统 可 靠 性 也 最 强 。 

属于 企业 级 服务 器 的 如 IBM RS/6000 S80 企业 级 服务 器 .SUN 的 Fire TM 15K 企 
业 级 服务 器 。 


2.4.2 按 处 理 器 架构 划分 
1. x86 


x86 是 Intel 通用 计算 机 系列 的 标准 编号 缩写 ,表示 一 套 通用 的 计算 机 指令 集合 ,x 
与 处 理 器 没有 任何 关系 , 它 是 一 个 对 所 有 * 86 系统 的 简单 的 通配符 定义 ,例如 : i386、 
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586 ,奔腾 (pentium) 。Intel 的 32 位 服务 器 Xeon( 至 强 ) 处 理 器 系列 .AMD 的 全 系列 ,还 
有 VIA 的 全 系列 处 理 器 产品 都 属于 x86 架构 。 


2. IA-64 

IA-64 架构 是 英特尔 为 了 全 面 提 高 以 前 IA-32 处 理 器 的 运算 性 能 ,由 Intel 和 HP 共 
同 开发 了 6 年 的 64 位 CPU 架构 ,是 专 为 服务 器 市 场 开 发 的 一 种 全 新 的 处 理 器 架构 。 它 
放弃 了 以 前 的 x86 架构 ,认为 它 严重 阻碍 了 处 理 器 性 能 的 提高 。Itanium( 安 腾 ) 和 
Itanium 2 系列 服务 器 处 理 器 都 采用 这 种 架构 ,但 是 由 于 它 不 能 很 好 地 解决 与 以 前 32 位 
应 用 程序 的 兼容 ,所 以 应 用 受到 较 大 的 限制 ,尽管 目前 Intel 采取 了 各 种 软 、 硬 件 方法 来 弥 
补 这 一 不 足 , 但 随 着 AMD Operon 处 理 器 的 全 面 投 入 ,Intel 的 IA-64 架构 的 处 理 器 前 景 
并 不 乐观 。 


3. RISC 架构 

RISC 技术 是 20 世纪 80 年 代 针对 传统 CISC 结构 发 展 中 的 次 病 ,在 体系 结构 设计 上 
作出 重大 革新 的 一 种 精简 指令 集结 构 设计 技术 。RISC 比 CISC 有 明显 的 结构 优势 。 

目前 采用 这 一 架构 的 主要 服务 器 处 理 器 有 IBM 的 Power4、Compaq Alpha 21364、 
HP PA-8X00、Sun 的 UltraSPARC 了 .SGI 的 MIPS 64 20Kc 等 。 


2.4.3 按 处 理 器 的 指令 执行 方式 划分 
目前 服务 器 处 理 器 的 指令 执行 方式 主要 有 CISC、RISC、VLIW 和 EPIC 4 种 。 


1， CISC 架构 服务 器 

CISC 的 英文 全 称 为 Complex Instruction Set Computer, 即 “复杂 指令 系统 计算 机 ”。 
自 PC 诞生 以 来 ,32 位 以 前 的 处 理 器 都 采用 CISC 指令 集 方式 。 

在 CISC 微 处理 器 中 ,程序 的 各 条 指令 是 按 顺序 串 行 执行 的 ,每 条 指令 中 的 各 个 操作 
也 是 按 顺 序 串 行 执行 的 。 顺 序 执行 的 优点 是 控制 简单 ,但 机 器 各 部 分 的 利用 率 不 高 ,执行 
速度 慢 。 由 于 这 种 指令 系统 的 指令 不 等 长 ,指令 的 条 数 比较 多 ,编程 和 设计 处 理 器 时 较为 
麻烦 。 但 基于 CISC 指令 架构 系统 设计 的 软件 已 非常 普遍 ,所 以 微 处 理 器 厂商 一 直 在 走 
CISC 的 发 展 之 路 ,包括 Intel,AMD, 还 有 其 他 一 些 现 已 更 名 的 厂商 ,如 TI、Cyrix。 在 服 
务 器 处 理 器 方面 ,CISC 架构 服务 器 的 CPU 主要 有 Intel 的 32 位 及 以 前 Xeon( 至 强 ) 的 
P 于 .PIT 处 理 器 和 AMD 的 全 系列 等 。 


2. RISC 架构 服务 器 

RISC 的 英文 全 称 为 Reduced Instruction Set Computer, 即 “精简 指令 集 计 算 机 ”。 有 
人 对 CISC 机 进行 测试 表明 ,各 种 指令 的 使 用 频率 相当 悬殊 ,最 常 使 用 的 是 一 些 比 较 简单 
的 指令 ,它们 仅 占 指令 总 数 的 20%, 但 在 程序 中 出 现 的 频率 却 占 80%。 复 杂 的 指令 系统 
必然 增加 微 处 理 器 的 复杂 性 ,使 微 处 理 器 处 理 时 间 长 .成 本 高 。 复 杂 指 令 需 要 复杂 的 操 
作 , 从 而 降低 了 机 器 的 速度 。20 世纪 70 年 代 末 ,John Cocke 提出 精简 指令 的 想法 。20 
世纪 80 年 代 初 ,斯坦福 大 学 研制 出 MIPS 机 ,为 精简 指令 系统 计算 机 (RISC) 的 诞生 与 发 
展 起 到 很 大 作用 。RISC 微 处 理 器 不 仅 精简 了 指令 系统 ,还 采用 超标 量 和 超 流 水 线 结构 ， 
大 大 增强 了 并 行 处 理 能 力 。1987 年 Sun Microsystem 公司 推出 的 SPARC 芯片 就 是 一 种 


超标 量 结构 的 RISC 处 理 器 。 而 SGI 公司 推出 的 MIPS 处 理 器 则 采用 超 流 水 线 结构 ,这 
些 RISC 处 理 器 在 构建 并 行 精简 指令 系统 多 处 理 机 中 起 着 核心 的 作用 。 

由 于 RISC 处 理 器 指令 简单 ,采用 硬 布线 控制 逻辑 ,处 理 能 力 强 ,速度 快 ,世界 上 绝 大 
部 分 UNIX 工作 站 和 服务 器 厂商 均 采 用 RISC 芯片 作 CPU 使 用 ,如 原 DEC 的 Alpha 
21364、IBM 的 Power PC G4、HP 的 PA-8900、SGI 的 R12000A 和 Sun Microsystem 公司 
的 Ultra SPARC 开 。 这 些 RISC 芯片 的 工作 频率 一 般 较 低 ,功率 消耗 少 , 温 升 也 少 ,机 器 
不 易 发 生 故 障 和 老化 .提高 了 系统 的 可 靠 性 。 目 前 中 、 高 档 服务 器 中 绝 大 多 数 采用 RISC 
指令 系统 。RISC 微 处 理 器 取得 成 功 主 要 是 由 于 指令 集 简化 后 ,流水 线 以 及 常用 指令 均 
可 用 硬件 执行 ,采用 大 量 的 寄存 器 使 大 部 分 指令 操作 在 寄存 器 之 间 进 行 ,提高 了 处 理 速 
度 。 另 外 ,是 由 于 RISC 指令 系统 采用 "缓存 一 主 存 一 外 存 " 三 级 存储 结构 ,使 取 数 与 存 数 
指令 分 开 执行 ,处 理 器 可 以 完成 尽 可 能 多 的 工作 ,而且 不 会 因为 从 存储 器 存 取信 息 而 降低 
处 理 速度 。 


3. VLIW 架构 服务 器 

VLIW 的 英文 全 称 为 Very Long Instruction Word, 即 “ 超 长 指令 集 字 ”。 它 是 美国 
Multiflow 和 Cydrome 公司 于 20 世纪 80 年 代 设计 的 体系 结构 ,目前 主要 应 用 于 
Trimedia( 全 美 达 ) 公 司 的 Crusoe 和 Efficeon 系列 处 理 器 中 。AMD 最 新 的 Athlon 64 处 
理 器 系列 是 采用 这 一 指令 系统 ,包括 其 服务 器 处 理 器 版 本 Operon。 同 样 Intel 最 新 的 IA- 
64 架构 中 的 EPIC 也 是 从 VLIW 指令 系统 中 分 离 出 来 的 。 

VLIW 指令 集 字 采用 了 先进 的 EPIC 设计 ,每 时 钟 周期 可 运行 20 条 指令 ,而 CISC 通 
常 只 能 运行 1 一 3 条 指令 ,RISC 可 运行 4 条 指令 ,可 见 VLIW 要 比 CISC 和 RISC 强大 得 
多 。VLIW 的 最 大 优点 是 简化 了 处 理 器 的 结构 ,删除 了 处 理 器 内 部 许多 复杂 的 控制 电路 ， 
这 些 电路 通常 是 超标 量 芯片 (CISC 和 RISC) 协 调 并 行 工作 时 必须 使 用 的 ,VLIW 将 所 有 
的 这 类 工作 交 给 编译 器 去 完成 。VLIW 的 结构 简单 .也 能 够 使 其 芯片 制造 成 本 降低 ,价格 
低廉 ,能 耗 少 ,而 且 性 能 要 比 超标 量 芯 片 高 得 多 。VLIW 是 简化 处 理 器 的 最 新 途径 ， 
VLIW 芯片 不 需要 超标 量 芯 片 在 运行 时 间 协 调 并 行 执行 时 所 必须 使 用 的 许多 复杂 的 控制 
电路 ,而 是 将 许多 这 类 负担 交 给 了 编译 器 去 承担 。 但 基于 VLIW 指令 集 字 的 CPU 芯片 
使 程序 变 得 很 大 ,需要 更 多 的 内 存 。 更 重要 的 是 编译 器 必须 更 聪明 ,一 个 低劣 的 VLIW 
编译 器 对 性 能 造成 的 负面 影响 远 比 一 个 低劣 的 RISC 或 CISC 编译 器 造成 的 影响 要 大 。 

4. EPIC 

EPIC 是 “清晰 并 行 指 令 计算 ”的 简称 , 它 最 重要 的 思想 就 是 并行 处 理 ”。 以 前 处 理 
器 必须 动态 分 析 代码 ,以 判断 最 佳 执 行路 径 。 采 用 并 行 技术 后 ,EPIC 处 理 器 可 让 编译 器 
提前 完成 代码 的 排序 ,代码 已 明确 排列 好 ,直接 执行 即 可 。 正 因为 如 此 ,EPIC 处 理 器 必 
须 能 并 行 处 理 大 量 数据 。 这 种 处 理 器 需要 采用 多 个 指令 管道 ,一 般 还 需要 多 个 寄存 器 ,很 
宽 的 数据 通路 以 及 其 他 专门 技术 (如 数据 预 装 等 ) ,确保 代码 能 顺畅 执行 ,避免 由 于 处 理 器 
造成 瓶颈 。 此 外 ,由 于 采用 了 指令 断定 .数据 预 装 以 及 显 式 并 行 技术 ,也 显著 地 减少 了 分 
支 预测 的 错误 ,因为 大 多 数 代码 都 在 执行 前 组 织 好 了 。 采 用 这 一 指令 技术 的 处 理 器 就 是 
Intel 的 IA-64 架构 的 Itanium 和 Itanium 2 系列 。 由 于 EPIC 是 从 VLIW 中 分 离 出 来 的 ， 
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所 以 也 有 人 把 这 一 指令 架构 归 为 VLIW 类 型 。 
2.4.4 按 用 途 划 分 


由 于 网 络 发 展 的 多 样 化 ,服务 器 市 场 也 越 来 越 细 化 。 按 照 为 满足 各 种 特定 功能 而 
发 .生产 的 功能 型 服务 器 标准 划分 ,服务 器 可 以 分 为 通用 型 服务 器 和 专用 型 服务 器 。 专 用 
型 服务 器 主要 是 依据 服务 器 的 具体 应 用 来 划分 的 ,如 Web、FTP、E-mail、.DNS 服务 器 等 。 


1. 通用 型 服务 器 

通用 型 服务 器 不 是 为 某 种 特殊 服务 专门 设计 的 , 它 是 可 以 全 面 提供 各 种 基本 服务 功 
能 的 服务 器 。 当 前 大 多 数 服务 器 是 通用 型 服务 器 。 因 为 这 类 服务 器 不 是 专 为 某 一 功能 而 
设计 ,在 设计 时 就 要 兼顾 多 方面 的 应 用 需求 ,所 以 这 种 服务 器 的 结构 相对 较为 复杂 ,而且 
价格 也 较 贵 。 


2. 专用 型 服务 器 

专用 型 (或 称 * 功 能 型 ”服务 器 是 专门 为 某 一 种 或 某 几 种 功能 专门 设计 的 服务 器 。 如 
光盘 镜像 服务 器 主要 是 用 来 存放 光盘 镜像 文件 的 ,在 服务 器 性 能 上 需要 具有 相应 的 功能 
与 之 相对 应 ,也 就 是 需要 配备 大 容量 、 高 速 的 硬盘 以 及 光盘 镜像 软件 。FTP 服务 器 主要 
用 在 网 上 (包括 Intranet 和 Internet) 进 行文 件 传 输 , 这 样 就 要 求 服务 器 在 硬盘 稳定 性 、 存 
取 速 度 、1/O 带宽 方面 具有 明显 优势 。 而 E-mail 服务 器 则 主要 要 求 服务 器 配置 高 速 带宽 
上 网 工具 ,大 容量 硬盘 等 。 

这 种 功能 型 服务 器 一 般 来 说 在 性 能 上 要 求 比 较 低 ,因为 它 只 需要 满足 某 些 需要 的 功 
能 应 用 即 可 ,所 以 结构 相对 来 说 简单 许多 ,一般 只 需要 采用 单 CPU 结构 、 单 层 IU 架构 。 
这 类 服务 器 在 稳定 性 .扩展 性 等 方面 的 要 求 不 是 很 高 ,价格 也 便宜 许多 。 
2.4.5 按 服务 器 结构 划分 

如 果 按 服务 器 的 机 箱 结构 来 划分 ,可 以 把 服务 器 分 为 台式 服务 器 、 机 架 式 服务 器 和 机 
柜 式 服务 器 3 种 。 

低档 服务 器 由 于 功能 较 弱 ,整个 服务 器 的 内 部 结构 不 是 很 复杂 ,所 以 机 箱 一 般 来 说 不 
大 ,都 采用 台式 机 箱 结构 。 但 是 要 注意 这 里 所 讲 的 台式 ,不 是 平时 在 PC 中 所 讲 的 台式 ， 
立 式 机 箱 也 属于 台式 机 范围 。 目 前 这 类 服务 器 在 整个 服务 器 市 场 中 占有 相当 大 的 份额 。 

机 架 式 服务 器 的 外 形 看 起 来 不 像 计算 机 ,而 像 交 换 机 ,有 1U(1U 二 1.75 英寸 )、.2U、 
4U 等 规格 ,主要 是 为 了 便于 在 机 架 中 与 其 他 网 络 设备 一 起 安装 。 机 架 式 服务 器 安装 在 
标准 的 19 英寸 机 柜 里 面 。 这 种 结构 的 多 为 功能 型 服务 器 。 

在 一 些 高 档 企 业 级 服务 器 中 ,由 于 内 部 结构 复杂 ,内 部 设备 较 多 ,有 的 还 具有 许多 不 
同 的 设备 单元 或 几 个 服务 器 都 放 在 一 个 机 柜 中 ,所 以 服务 器 的 机 箱 需 要 做 得 很 大 ,整个 机 
箱 就 像 一 个 大 柜子 ,这 就 是 机 柜 式 服务 器 。 属 于 机 柜 式 服务 器 的 有 IBM 的 p690 机 柜 式 
服务 器 .HP bh7800 企业 级 服务 器 。 


2.5 UPS 介绍 


很 多 企 事 业 单 位 对 外 提供 的 网 络 服 务 是 7X24 小 时 的 ,比如 金融 行业 或 政府 行业 ,这 
就 要 求 服务 器 7X24 小 时 的 稳定 工作 。 同 样 ,在 很 多 企 事 业 单 位 ,计算 机 中 存储 的 数据 是 


非常 宝贵 的 ,如 果 由 于 突然 断 电 造成 网 络 设备 或 服务 器 损坏 甚至 数据 丢失 ,将 对 企 事业 单 
位 甚至 社会 造成 严重 的 影响 。 所 以 ,很 多 的 企 事 业 单位 一 定 要 保证 服务 器 7X24 小 时 的 
安全 ,稳定 的 运行 ,并 提供 正常 的 服务 。 

为 了 保证 电源 的 稳定 及 在 市 电 突 然 断 电 的 情况 下 对 外 服务 的 正常 提供 ,通常 要 部 署 
稳 压 电源 和 UPS 电源 。 
2.5.1 UPS 的 分 类 

UPS(Uninterruptible Power System, 不 间断 电源 ) 是 一 种 含有 储 能 装置 ,以 道 变 器 
为 主要 组 成 部 分 的 恒 压 恒 频 的 不 间断 电源 ,主要 用 于 给 单 台 计 算 机 、 计 算 机 网 络 系统 或 其 
他 电力 电子 设备 提供 不 间断 的 电力 供应 。 当 市 电 输入 正常 时 ,UPS 将 市 电 稳 压 后 供应 给 
负载 使 用 ,此 时 的 UPS 就 是 一 台 交 流 市 电 稳 压 器 ,同时 它 还 向 机 内 电池 充电 ; 当 市 电 中 
断 ( 事 故 停电 ) 时 ,UPS 立即 将 机 内 电池 的 电能 通过 逆 变 转换 的 方法 向 负载 继续 供应 
220 V 交流 电 ,使 负载 维持 正常 工作 并 保护 负载 软 、 硬 件 不 受 损 坏 。 

能 为 负载 提供 稳定 交流 电源 或 直流 电源 的 电子 装置 包括 交流 稳 压 电源 和 直流 稳 压 电 
源 两 大 类 。 

QO 交流 稳 压 电源 ,又 称 交流 稳 压 器 。 随 着 电子 技术 的 发 展 ,特别 是 电子 计算 机 技术 
应 用 到 各 工业 、 科 研 领域 后 ,各 种 电子 设备 都 要 求 用 稳定 的 交流 电源 供电 ,电网 直接 供电 
已 不 能 满足 需要 ,交流 稳 压 电源 的 出 现 解 决 了 这 一 问题 。 

交流 稳 压 电源 输出 的 是 交流 电 , 在 示 波 仪 上 呈现 正弦 波形 ,应 用 在 要 求 电压 恒定 且 有 
一 定 频率 的 电路 中 。 

@ 直流 稳 压 电源 ,又 称 直流 稳 压 器 。 它 的 供电 电源 大 都 是 交流 电源 , 当 交 流 供电 电 
源 的 电压 或 负载 电阻 变化 时 , 稳 压 器 的 直接 输出 电压 能 保持 稳定 。 稳 压 器 的 参数 有 电压 
稳定 度 、 纹 波 系数 和 响应 速度 等 。 电 压 稳 定 度 表示 输入 电压 的 变化 对 输出 电压 的 影响 。 
纹 波 系 数 表示 在 稳定 工作 的 情况 下 ,输出 电压 中 交流 分 量 的 大 小 。 响 应 速度 表示 输入 电 
压 或 负载 急剧 变化 时 ,电压 回 到 正常 值 所 需 的 时 间 。 直 流 稳 压 电源 分 连续 导电 式 与 开关 
式 两 类 。 连 续 导 电 式 由 变压器 把 单 相 或 三 相交 流 电压 变 到 适当 值 , 然 后 经 整流 、 滤 波 , 获 
得 不 稳定 的 直流 电源 ,再 经 稳 压 电路 得 到 稳定 电压 (或 电流 )。 这 种 电源 线路 简单 、 纹 波 
小 .相互 干扰 小 ,但 体积 大 、 耗 材 多、 效率 低 ( 常 低 于 40% 一 60%)。 开 关 式 电源 以 调整 元 
件 ( 或 开关 ) 的 通 断 时 间 比 来 调节 输出 电压 ,从 而 达到 稳 压 。 这 类 电源 功 耗 小 ,效率 可 达 
85% 左 右 ,所 以 , 它 自 20 世纪 80 年 代 以 来 发 展 迅 速 。 

直流 稳 压 电 源 输出 的 是 直流 电 , 在 示 波 仪 上 呈现 直线 波形 ,用 于 要 求 直 流 电压 和 电流 
的 电路 。 
2.5.2 UPS 的 工作 原理 

UPS 电源 按 其 工作 原理 可 分 为 后 备 式 ,在线 式 以 及 在 线 互动 式 3 种 。 

(1) 后 备 式 UPS 

平时 处 于 蓄电池 充电 状态 .在 停电 时 逆 变 器 紧急 切换 到 工作 状态 ,将 电池 提供 的 直流 
电 转 变 为 稳定 的 交流 电 输 出 ,因此 后 备 式 UPS 也 被 称 为 离线 式 UPS。 后 备 式 UPS 电源 
的 优点 是 运行 效率 高 .噪音 低 .价格 相对 便宜 ,主要 适用 于 市 电波 动 不 大 ,对 供电 质量 要 求 
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高 的 场合 ,比较 适合 家 庭 使 用 。 然 而 这 种 UPS 存在 一 个 切换 时 间 的 问题 ,因此 不 适合 
用 在 关键 性 的 供电 不 能 中 断 的 场合 。 不 过 实际 上 这 个 切换 时 间 很 短 ,一 般 介 于 2 一 10ms， 
而 计算 机 本 身 的 交换 式 电源 供应 器 在 断 电 时 可 维持 10ms 左右 ,所 以 个 人 计算 机 系统 一 
般 不 会 因为 这 个 切换 时 间 而 出 现 问 题 。 后 备 式 UPS 一 般 只 能 持续 供电 几 分 钟 到 几 十 分 
钟 , 主 要 使 用 户 有 时 间 备 份 数据 ,并 尽快 结束 手头 工作 ,其 价格 也 较 低 。 对 于 不 是 太 关键 
的 计算 机 应 用 ,比如 个 人 家 庭 用 户 ,就 可 配 小 功率 的 后 备 式 UPS。 后 备 式 UPS 的 结构 如 


图 2-34 所 示 。 
A 滞 -| 转换 开关 上 
充电 器 | | 电池 | | 逆 变 器 
一 一 市 电 正常 。 ”一 一 市 电 故障 
图 2-34 后 备 式 UPS 的 结构 
(2) 在 线 式 UPS 


这 种 UPS 一 直 使 其 逆 变 器 处 于 工作 状态 , 它 首 先 通 过 电路 将 外 部 交流 电 转 变 为 直流 
电 , 再 通过 高 质量 的 逆 变 器 将 直流 电 转 换 为 高 质量 的 正弦 波 交 流 电 输 出 给 计算 机 。 在 线 
式 UPS 在 供电 状况 下 的 主要 功能 是 稳 压 及 防止 电波 干扰 ,在 停电 时 则 使 用 备用 直流 电源 
(蓄电池 组 ) 给 道 变 器 供电 。 由 于 道 变 器 一 直 在 工作 ,因此 不 存在 切换 时 间 的 问题 ,适用 于 
对 电源 有 严格 要 求 的 场合 。 在 线 式 UPS 不 同 于 后 备 式 的 一 大 优点 是 供电 持续 时 间 长 ,一 
般 为 几 个 小 时 ,也 有 到 十 几 个 小 时 的 。 它 的 主要 功能 是 可 以 在 停电 的 情况 下 像 平 常 一 样 
工作 ,由 于 其 功能 的 特殊 ,价格 也 明显 要 贵 一 大 截 。 这 种 在 线 式 UPS 比较 适用 于 计算 机 、 
交通 .银行 证券. 通信 医疗. 工业 控制 等 行业 ,因为 这 些 领 域 的 计算 机 一 般 不 允许 出 现 停 
电 现象 。 在 线 式 UPS 的 结构 如 图 2-35 所 示 。 


旁 路 


包 


下 [ 斌 波 | ~ 整流 器 | -| 地 变 器 | [开关 | 多 由 


充电 器 | ~| 电池 
一 一 市 电 正常 一 一 电池 工作 一 旁 路 工作 
图 2-35 在 线 式 UPS 的 结构 


(3) 在 线 互动 式 UPS 

这 是 一 种 智能 化 的 UPS, 所 谓 在 线 互 动 式 UPS 是 指 在 输入 市 电 正常 时 ,UPS 的 逆 变 
器 处 于 反 向 工作 ( 即 整 流 工作 状态 ) ,给 电池 组 充电 ;在 市 电 异 常 时 逆 变 器 立刻 转 为 逆 变 工 
作 状 态 , 将 电池 组 的 电能 转换 为 交流 电 输出 ,因此 在 线 互 动 式 UPS 也 有 转换 时 间 。 同 后 
备 式 UPS 相 比 ,在 线 互动 式 UPS 的 保护 功能 较 强 , 逆 变 器 输出 电压 波形 较 好 ,一 般 为 正 
弦 波 ,其 最 大 的 优点 是 具有 较 强 的 软件 功能 ,可 以 方便 地 上 网 ,进行 UPS 的 远程 控制 和 智 
能 化 管理 。 可 自动 侦 测 外 部 输入 电压 是 否 处 于 正常 范围 之 内 ,如 有 偏差 可 由 稳 压 电路 升 


压 或 降 压 ,提供 比较 稳定 的 正弦 波 输出 电压 。 而 且 它 与 计算 机 之 间 可 以 通过 数据 接口 (如 
RS-232 串口 ) 进 行 数据 通信 ,通过 监控 软件 ,用 户 可 直接 从 计算 机 屏幕 上 监控 电源 及 
UPS 状况 ,简化 方便 管理 工作 ,并 可 提高 计算 机 系统 的 可 靠 性 。 这 种 UPS 集中 了 后 备 
式 UPS 效率 高 和 在 线 式 UPS 供电 质量 高 的 优点 ,但 其 稳 频 特性 不 是 十 分 理想 ,不 适合 做 
长 延 时 的 UPS 电源 。 在 线 互 动 式 UPS 的 结构 如 图 2-36 所 示 。 


狂人 | 请 -| 和 | -| 其 开关 | 全 
a -| 电池 逆 变 器 
一 市 电 正常 。 一 一 市 电 故 障 
图 2-36 在线 互动 式 UPS 
3 种 UPS 电源 的 参数 比较 见 表 2-1。 
表 2-1 3 种 UPS 电源 的 参数 比较 
UPS 种 类 后 备 式 在 线 式 在 线 互动 式 
容量 250VA 一 2k。VA 1]k。VA 一 100k。VA 1k。VA 一 5k。VA 
功能 基本 功能 完全 保护 功能 较 完全 保护 功能 
转换 时 间 二 10ms Oms dms 
输出 波形 方 波 (多 数 ) 正弦 波 正弦 波 
适用 负载 PC 终端 设备 服务 器 、 小 型 机 工作 站 、 网 络 设备 


2.5.3 UPS 电池 


UPS( 不 间断 电源 ) 之 所 以 能 够 在 断 电 后 继续 为 计算 机 等 设备 供电 ,就 是 因为 它 的 里 
面 有 一 种 储存 电能 的 装置 在 起 作用 ,这 种 储 能 的 装置 就 是 UPS 电池 。 其 主要 功能 是 : 当 
市 电 正 常 时 ,将 电能 转换 成 化 学 能 储存 在 电池 内 部 。 当 市 电 故 障 时 ,将 化 学 能 转换 成 电能 

UPS 电池 的 优 劣 直接 关系 到 整个 UPS 系统 的 可 靠 程 度 ,蓄电池 又 是 整个 UPS 系统 
中 平均 无 故障 时 间 (MTBF) 最 短 的 一 种 器 件 。 如 果 用 户 能 够 正确 使 用 和 维护 ,就 能 够 延 
长 其 使 用 寿命 ,反之 其 使 用 寿命 会 显著 缩短 。 蓄 电池 一 般 分 为 铝 酸 电池 、 铅 酸 免 维 护 电 池 
及 镍 锅 电池 等 ,3 种 电池 的 优 缺 点 比较 见 表 2-2。 


表 2-2 3 种 不 同 种 类 蓄电池 的 优 缺 点 比较 


各 类 概述 优 缺 点 
| 1 充 放电 时 会 产生 氧气 ,安置 地 点 须 设置 在 
下 本 排 风 管 处 以 免 造 成 危险 
3 太 已 A 
铬 酸 电池 2 电解 液 呈 酸性 会 腐蚀 金属 


3. 需 经 常 加 水 维护 
4. 价格 低廉 


3. 期 望 寿 命 1 一 3 年 
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续 表 


1. 密封 式 , 充 电 时 不 会 产生 任何 有 害 气体 
2. 摆设 容易 ,不 需 考虑 安置 地 点 通风 问题 
3. 免 保养 , 免 维护 

4. 放电 率 高 ,特性 稳定 

5. 价格 较 高 
2 
a 
4 


. 新 型 电池 
铅 酸 免 维 护 电池 “| 2. 无 需 加 水 
. 期 望 寿命 一 般 为 5 一 7 年 


ww 


. 水 为 介质 , 充 放电 不 会 产生 有 害 气体 

. 失 水 率 低 ,但 需要 固定 时 间 加 水 及 保养 
. 放电 特性 最 佳 

. 可 放置 于 任何 恶劣 环境 

. 价格 极 高 


1. 高 级 电池 ,用 于 特殊 场合 及 特 
殊 设备 上 

2. 需 加 水 

. 期望 寿命 20 一 40 年 


镍 锅 电 池 


oo 


考虑 到 负载 条 件 、 使 用 环境 、 使 用 寿命 及 成 本 等 因素 ,一般 选择 铅 酸 免 维护 电池 。 用 
户 千 万 不 要 因 贪 图 便宜 而 选用 劣质 电池 ,因为 这 样 做 会 影响 整个 系统 的 可 靠 性 ,并 可 能 因 
此 造成 更 大 的 损失 。 

UPS 作为 保护 性 的 电源 设备 , 它 的 性 能 参数 具有 重要 意义 ,应 是 选 购 时 考虑 的 重点 。 
市 电 电压 输入 范围 宽 , 则 表明 对 市 电 的 利用 能 力 强 ( 减 少 电池 放电 )。 输 出 电压 ,频率 范围 
小 , 则 表明 对 市 电 调整 能 力 强 ,输出 稳定 。 波 形 畸 变 率 用 于 衡量 输出 电压 波形 的 稳定 性 。 
电压 稳定 度 则 说 明 当 UPS 突然 由 零 负载 加 到 满 负 载 时 ,输出 电压 的 稳定 性 。 还 有 UPS 
效率 .功率 因数 .转换 时 间 等 都 是 表征 UPS 性 能 的 重要 参数 ,决定 了 对 负载 的 保护 能 力 和 
对 市 电 的 利用 率 。 人 性 能 越 好 ,保护 能 力 越 强 。 总 的 来 说 ,后 备 式 UPS 对 负载 的 保护 最 差 ， 
在 线 互 动 式 略 优 之 ,在 线 式 则 几乎 可 以 解决 所 有 的 常见 电力 问题 ,当然 成 本 也 随 着 性 能 的 
增强 而 增加 。 因 此 用 户 在 选 购 UPS 时 ,应 根据 负载 对 电力 的 要 求 程度 及 负载 重要 性 的 不 
同 ,选择 不 同类 型 的 UPS。 


2.6 IOS 基础 


2.6.1 IOS 介绍 


IOS(Internetwork Operation System ,网 际 操 作 系统 ) 是 路 由 器 和 交换 机 的 操作 系统 
的 简称 ,相当 于 PC 的 操作 系统 。 路 由 器 相当 于 一 个 具有 多 个 端口 的 计算 机 , 它 在 网 络 中 
起 到 的 作用 与 一 般 的 PC 不同。 但 和 普通 计算 机 一 样 ,路 由 器 也 需要 一 个 操作 系统 ,所 有 
CISCO 路 由 器 的 IOS 都 是 一 个 嵌入 式 软件 体系 结构 。 

CISCO 的 IOS 是 一 个 为 网 际 互联 优化 的 复杂 的 操作 系统 ,类 似 一 个 局 域 网 操作 系 
统 (NOS)。IOS 为 长 时 间 经 济 有 效 地 维护 一 个 互联 网 络 提供 统一 的 规则 。 简 而 言 之 , 它 
是 一 个 与 硬件 分 离 的 软件 体系 结构 , 随 网 络 技术 的 不 断 发 展 ,可 动态 地 升级 以 适应 不 断 变 
化 的 技术 (硬件 和 软件 ) 。 

IOS 是 一 种 特殊 的 软件 ,可 用 它 配 置 CISCO 路 由 器 硬件 ,使 信息 从 一 个 网 络 路 由 或 
桥接 至 另 一 个 网 络 。IOS 是 CISCO 各 种 路 由 器 产品 的 “力量 之 源 ”。 可 以 说 , 正 是 由 于 
IOS 的 存在 , 才 使 CISCO 路 由 器 有 了 强大 的 生命 力 。 购 买 一 台 CISCO 路 由 器 时 ,也 必须 


购买 运行 IOS 的 一 份 许可 证 。IOS 存在 着 多 种 版 本 及 功能 。 通 常 , 要 根据 自己 的 习惯 来 
决定 采用 新 软件 、 旧 软件 还 是 更 成 熟 的 软件 ,是 否 需要 一 项 特别 的 IOS 功能 ,或 者 是 否 采 
用 一 种 特定 的 硬件 平台 。 

CISCO 用 一 套 特 殊 的 编码 方案 来 制定 IOS 的 版 本 , 它 的 完整 版 本 号 由 三 部 分 组 成 : 
主 版 本 、 辅 助 版 本 维护 版 本 。 其 中 , 主 版 本 和 辅助 版 本 号 用 一 个 小 数 点 分 隔 ,两 者 构成 了 
一 套 1OS 的 主要 版 本 ,而 维护 版 本 显示 在 括 弧 中 。 比 如 11.2(10) , 它 的 主要 版 本 是 11. 2， 
维护 版 本 是 10( 第 10 次 维护 或 补丁 )。CISCO 经 常 发 布 IOS 更 新 ,修正 原来 存在 的 一 些 
错误 或 增加 新 的 功能 。 在 其 发 布 了 一 次 更 新 后 ,通常 都 会 递增 维护 版 本 的 编号 。 

由 于 IOS 的 版 本 众多 ,所 以 CISCO 会 同时 提供 发 布 说 明 , 描 述 版 本 的 变化 与 新 增 内 
容 。 如 果 想 知道 一 个 版 本 有 哪些 改变 ,或 者 新 版 本 中 增加 了 什么 内 容 ,就 应 仔细 阅读 发 布 
说 明 。 

CISCO 采用 一 套 特别 的 命名 方案 ,告诉 用 户 软件 的 可 靠 性 。 这 些 版 本 名 称 的 定义 为 
General Deployment (GD, 标准 版 )、Limited Deployment (LD, 限 制版 ) 以 及 Early 
Deployment(ED, 早 期 版 )。 通 常 ,IOS 的 GD 版 是 最 可 靠 的 。 若 一 套 IOS 进入 市 场 已 有 
较 长 时 间 ,使 CISCO 能 改正 掉 足 够 多 的 错误 ,而 且 CISCO 认为 已 获得 使 用 这 套 软 件 的 大 
多 数 人 的 满意 ,就 会 为 其 冠 以 一 个 GD 名 称 。 

版 本 号 变化 之 后 ,其 功能 或 特性 的 变化 幅度 并 不 大 。 应 根据 自己 希望 在 路 由 器 上 运 
行 的 内 容 ,来 选择 自己 需要 的 特性 。 例 如 ,用 户 是 希望 运行 网 际 协议 IP, 还 是 想 同时 运行 
Novell 的 网 间 数 据 包 交换 (Internetwork Packet Exchange,IPX) 以 及 DECnet, 根 据 自 己 
的 需要 ,可 总 结 出 希望 路 由 器 在 网 络 中 具有 的 全 部 特性 ,再 根据 这 些 特性 来 选择 IOS。 

CISCO 路 由 器 有 从 非常 便宜 的 低档 型 号 到 非常 昂贵 的 高 档 型 号 的 一 系列 产品 。 在 
配置 和 管理 路 由 器 时 ,可 以 采用 控制 台 端口 或 一 台 Modem, 也 可 以 采用 Telnet 连接 ,用 
户 看 到 的 是 一 个 界面 相同 的 命令 行 ,不 用 了 解 更 多 的 操作 。 

2.6.2 IOS 优点 特性 


1. IOS 模块 性 

IOS 是 一 系列 紧密 连接 的 网 际 互联 软件 产品 ,已 成 为 网 际 互 联 软件 事实 上 的 工业 标 
准 , 它 具有 强大 的 模块 性 和 兼容 性 特点 ,能 在 很 多 非 CISCO 的 交换 机 和 路 由 器 等 网 络 设 
备 上 运行 。 

2. 灵活 性 

IOS 软件 提供 一 个 可 扩展 的 平台 ,CISCO 会 随 着 需求 和 技术 的 发 展 集成 新 的 功能 。 


3. 可 伸缩 性 

IOS 遍布 网 际 互联 市 场 ,广泛 的 CISCO 使 用 伙伴 及 竞争 者 在 它们 的 产品 上 支持 
IOS。IOS 软件 体系 结构 还 允许 其 集成 构造 企业 互联 网 络 的 所 有 部 分 。 

4. 可 操作 性 


IOS 提供 最 广泛 的 基于 标准 的 物理 和 逻辑 协议 接口 ,超过 了 业界 任何 其 他 供应 商 , 从 
双 绞 线 到 光纤 ,从 局 域 网 到 园区 网 再 到 广域网 ,Novell NetWare、UNIX、SNA 以 及 其 他 许 
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多 接口 。 也 就 是 说 ,一 个 围绕 IOS 建立 的 网 络 将 支持 非常 广泛 的 应 用 。 而 且 ,CISCO 还 
一 直 是 一 个 业界 标准 先驱 ,是 许多 知名 业界 标准 机 构 ( 例 如 IETF、ATM 论坛 等 ) 的 积极 
成 员 和 支持 者 。 


5. 可 管理 性 

IOS 是 CISCO 将 嵌入 式 智 能 植 人 网 络 设备 的 结果 ,其 管理 界面 例如 IOS 诊断 界面 ， 
以 及 智能 网 络 应 用 的 代理 软件 ,允许 用 于 临时 和 广泛 的 网 络 设备 的 故障 。 随 着 CISCO 转 
向 智能 代理 和 基于 策略 的 自动 化 管理 的 大 规模 部 署 ,IOS 将 作为 一 个 关键 的 技术 组 件 。 


6. 投资 保护 (随时 间 推 移 降低 拥有 成 本 ) 

IOS 为 客户 提供 信息 基础 设施 的 投资 保护 。IOS 目前 支持 的 许多 特性 是 大 多 数 客户 
未 来 需要 的 特性 。IOS 允许 用 户 迅速 调节 适应 新 的 模式 ,更 长 时 间 地 保持 其 信息 基础 机 
构 投 资 ,并 随时 间 的 推移 提供 投资 保护 和 降低 拥有 成 本 。 
2.6.3 IOS 的 配置 模式 

对 IOS 配置 的 方式 一 般 包 括 3 种 : setup 模式 (对 话 模式 ).HTTP 模式 (Web 模式 ) 
以 及 CLI 模式 (Command-Line Interface, 命 令 行 模式 )。 其 中 CLI 模式 又 包括 3 个 主 模 
式 , 即 用 户 执行 模式 ,特权 执行 模式 和 配置 模式 。 

在 用 户 执 行 模式 下 ,只 可 以 执行 有 限 的 命令 ,这些 命令 通常 对 路 由 器 的 正常 工作 没有 
什么 影响 。 

在 特权 执行 模式 下 ,可 以 执行 丰富 的 命令 ,以便 更 好 地 控制 和 使 用 路 由 器 。 

在 配置 模式 下 ,路 由 器 的 配置 可 以 被 创建 和 更 改 。 配 置 模式 又 包括 全 局 配置 模式 、 接 
口 配置 模式 、 路 由 协议 配置 模式 线路 配置 模式 等 子 模式 。 


2.7 思考 和 练习 


1. 试 比较 均 工作 在 第 三 层 的 路 由 器 和 交换 机 的 各 自 特点 。 

2. 什么 是 IOS? 试 比 较 不 同 厂家 的 网 络 设备 的 IOS 的 各 自 的 特点 。 

3. 采用 控制 端口 对 路 由 器 和 交换 机 进行 初始 化 配置 ,并 采用 虚拟 终端 和 Web 方式 
进行 管理 ,注意 在 管理 时 如 何 增强 安全 性 。 

4. 比较 不 同 架 构 的 服务 器 的 各 自 的 特点 。 

5. 请 分 析 后 备 式 、 在 线 式 以 及 在 线 互 动 式 3 种 UPS 电源 各 自 的 工作 特点 。 


2.8 实 训练 习 


实 训 练习 1: 主要 网 络 设 备 的 认识 和 功能 了 解 
目的 ， 

(1) 认识 常见 的 网 络 设备 

(2) 掌握 常见 网 络 设备 的 基本 功能 和 重要 参数 ; 
(3) 掌握 在 采购 网 络 设备 时 的 选择 依据 


实 训 练习 2: 双 绞 线 水 晶 头 的 制作 及 其 与 网 络 设备 互 连 的 练习 

目的 : 

(1) 认识 常见 的 双 绞 线 及 基本 结构 ; 

(2) 制作 双 绞 线 ; 

(3) 用 双 绞 线 组 建 一 个 小 型 局 域 网 ,用 双 绞 线 实现 网 络 设备 之 间 的 互 连 ,或 者 服务 器 
与 网 络 设备 之 间 的 互 连 。 
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计算 机 技术 发 展 非常 迅速 ,在 计算 机 刚刚 出 现 的 时 候 , 很 多 的 数值 计算 是 在 一 台独 立 
的 计算 机 上 处 理 的 ,并 没有 网 络 的 概念 。 随 着 科技 的 发 展 和 社会 的 进步 ,把 分 布 在 不 同位 
置 . 同 构 或 异 构 的 计算 机 互 连 起 来 并 进行 通信 的 任务 日 益 步 人 科学 家 的 研究 日 程 中 。 在 
20 世纪 50 年 代 , 首 先 出现 了 面向 终端 的 计算 机 网 络 (用 户 的 指令 输入 在 终端 计算 机 上 进 
行 ,所 有 数据 处 理 在 中 心计 算 机 上 运行 ,最 终结 果 返 回 给 终端 计算 机 ) ,随后 又 依次 出 现 了 
技术 更 先进 ,效率 更 高 .更 方便 使 用 的 多 机 系统 互 连 (多 个 具有 独立 数据 处 理 功能 的 计算 
机 互 连 ) ,标准 化 的 计算 机 网 络 ( 遵 守 一 定 体系 结构 的 网 络 ,比如 IBM 公司 的 系统 网 络 体 
系 结构 .DEC 公司 的 数字 网 络 体系 结构 等 ) ,以 致 现 在 的 网 络 互联 与 高 速 网 络 阶段 (网 络 
的 高 速 发 展 阶 段 , 具 备 传输 介质 光纤 化 .网 络 智 能 化 、 传 输 速率 高 速 化 等 特点 ) 。 

网 络 互联 可 以 实现 资源 共享 和 信息 交互 。 为 了 把 分 布 在 异地 的 、. 异 构 的 计算 机 互 连 
起 来 必须 要 解决 一 个 不 可 回避 的 问题 , 那 就 是 通信 规则 问题 。 因 为 不 同 的 计算 机 信息 存 
储 的 方法 不 同 , 信 息 处 理 方法 不 同 , 信 号 表示 方法 不 同 ,不 同 的 CPU 支持 的 指令 集 也 不 
同等 ,所 以 为 了 使 异 构 的 计算 机 能 够 互相 通信 ,必须 解决 异 构 的 计算 机 之 间 如 何 互相 理解 
的 问题 , 即 互相 通信 的 计算 机 必须 遵守 统一 的 协议 (Protocol) 。 这 样 ,通信 的 两 台 计算 机 
所 采用 的 语言 能 够 互相 理解 ,符合 一 定 的 语法 .语义 和 规则 , 方 可 实现 无 差错 地 通信 。 

读者 已 经 知道 ,在 TCP/IP 协议 中 ,TCP 的 功能 是 把 应 用 层 需要 的 信息 分 割 成 数据 
包 , 然 后 发 送出 去 。IP 协议 的 功能 是 对 数据 包 进 行 寻 址 和 路 由 ,并 通过 网 络 进行 传输 。 
IP 协议 在 每 个 发 送 的 数据 包 前 加 入 一 个 控制 信息 ,其 中 包含 了 源 地 址 的 IP 地 址 、 目 标 主 
机 的 IP 地 址 。 根 据 IP 协议 ,在 TCP/IP 网 络 上 的 每 台 计算 机 都 需要 一 个 唯一 的 IP 地 
址 ,IP 地 址 是 一 个 32 位 的 二 进 制 数字 ,可 以 分 成 网 络 地 址 和 主机 地 址 两 部 分 ,路 由 协议 
根据 源 计算 机 和 目标 计算 机 的 IP 地 址 和 网 络 连接 情况 确定 路 由 。 在 网 络 当 中 运行 的 主 
机 的 IP 地 址 管理 通常 是 通过 DHCP( 动 态 主 机 配置 协议 ) 服 务 器 实现 的 ,因此 DHCP 服 
务 器 的 配置 和 管理 是 网 络 管理 的 重要 内 容 。 

在 网 络 时 代 , 人 们 上 网 时 享受 的 最 为 常见 的 网 络 服务 包括 网 站 浏览 ,网 络 信息 下 载 、 
电子 邮件 的 收发 等 ,提供 这 些 服务 需要 通过 网 络 管理 员 在 网 络 中 心 对 DNS 服务 器 、 
WWW 服务 器 .FTP 服务 器 .电子 邮件 服务 器 的 配置 和 管理 ,有 时 还 要 对 代理 服务 器 
PROXY 配置 。 所 以 本 章 重 点 介绍 这 方面 的 内 容 。 


3.1 DHCP 的 设置 与 管理 


3.1.1 DHCP 服务 器 介绍 

通常 在 单位 的 局 域 网 环境 中 ,提供 WWW、FTP、E-mail`.DHCP 服务 的 主机 的 IP 地 
址 都 是 固定 的 公有 IP 地 址 ,而 单位 员工 所 使 用 的 计算 机 的 IP 地 址 如 果 也 采用 固定 IP 地 
址 设置 的 话 , 作 为 网 络 管理 员 , 经 常会 遇 到 下 列 问 题 : 

O@ 每 次 网 络 环境 的 升级 或 变更 ,网 络 管理 人 员 需 要 逐 台 地 进行 网 络 配置 ,将 耗费 大 
量 的 时 间 和 劳力 ,否则 可 能 导致 错误 的 配置 而 无 法 上 网 。 

@ 一 个 恶意 的 使 用 者 可 能 会 修改 他 自己 的 IP 地 址 来 逃避 网 络 监视 系统 的 记录 
跟踪 。 

@ 如 果 用 户 自己 设置 的 IP 地 址 和 网 关 或 代理 服务 器 的 地 址 相同 ,由 于 IP 地 址 冲 
突 ,双方 都 要 关闭 网 络 接口 ,这样 就 会 使 服务 器 或 网 关 停止 服务 。 

@ 更 有 其 者 故意 使 用 别人 的 IP 地 址 ,产生 冲突 以 后 ,重启 自己 的 机 器 ,由 于 对 方 已 
经 关闭 网 络 接口 ,因而 能 暂时 把 对 方 的 IP 地 址 * 抢 过来, 对方 的 机 器 由 于 网 络 接口 已 经 
关闭 就 无 法 检测 到 冲突 。 

由 于 传统 的 做 法 中 IP 地 址 是 在 用 户 自己 的 机 器 上 设置 的 ,对 于 以 上 情况 除了 要 求 用 
户 自律 之 外 ,网 管 人 员 常 常 束手无策 。 另 外 ,现在 某 些 单位 所 申请 到 的 IP 资源 可 能 有 限 ， 
而 单位 的 主机 都 要 求 获 得 一 个 公有 的 IP 地 址 来 办 理 公务 ,但 所 有 主机 不 一 定 同时 启用 。 

对 于 上 述 问 题 的 解决 , 常 采 用 DHCP 服务 器 解决 。 

DHCP(Dynamic Host Configuration Protocol, 动 态 主机 配置 协议 ) 是 TCP/IP 标准 
中 定义 的 远程 配置 客户 端 TCP/IP 网 络 选项 的 协议 。 通 过 一 台 DHCP 服务 器 ,能 够 给 设 
置 了 使 用 DHCP 的 客户 机 分 配 IP 地 址 ,并 配置 其 他 网 络 选项 ( 子 网 掩 码 、 默 认 网 关 、 
WINS 服务 器 的 IP 地 址 .DNS 服务 器 的 IP 地 址 ) 。 

DHCP 的 标准 工作 过 程 有 5 个 阶段 。 

Q@ IP 租用 申请 : 客户 机 初始 化 一 个 网 络 设备 上 的 TCP/IP 协议 ,然后 向 局 域 网 广播 
一 个 IP 租用 请 求 。 

@ IP 租用 提议 : 所 有 有 具有 有 效 IP 地 址 池 信 息 的 DHCP 服务 器 在 捕获 租用 请 求 数 
据 包 以 后 都 向 客户 机 发 出 一 个 提议 。 

@ IP 租用 选 定 : 客户 机 从 收 到 的 第 一 个 提议 中 选 定 IP 地 址 信息 ,并 发 出 一 条 正式 
租用 地 址 的 消息 请 求 。 

@ IP 租用 认可 : 发 出 该 提议 的 DHCP 服务 器 响应 该 消息 ,同时 指定 IP 地 址 信息 给 
该 客户 机 ,并 且 所 有 其 他 DHCP 服务 器 撤回 各 自 的 提议 。 

@ 完成 租用 : 客户 机 得 到 IP 地 址 的 配置 信息 .完成 TCP/IP 协议 的 初始 化 和 绑 定 ， 
同时 发 出 此 信息 的 DHCP 服务 器 在 日 志 中 记录 此 次 IP 分 配 信息 ,此 时 客户 机 就 可 以 正 
常 使 用 网 络 了 。 

客户 机 对 IP 地 址 的 使 用 有 一 定 的 时 间 限 制 ,这 个 时 间 叫 做 租用 时 间 。 租 用 时 间 到 
期 时 ,客户 机 会 再 次 向 DHCP 服务 器 发 出 续 租 申请 ,DHCP 服务 器 核对 后 ,客户 机 可 以 在 
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一 个 单位 租用 时 间 内 继续 使 用 该 IP 地 址 。 如 果 到 期 客户 机 发 出 续 租 申请 以 后 未 收 到 确 
认 , 它 将 放弃 使 用 该 IP 地 址 。 如 果 超 过 一 定 的 时 间 未 收 到 续 租 申请 , DHCP 服务 器 将 自 
动 收回 此 IP 地 址 。 由 于 DHCP 服务 器 是 按照 提交 租用 申请 的 顺序 从 地 址 池 中 分 配 有 效 


的 IP 地 址 ,这 档 


FE 客户 端的 IP 地 址 都 由 DHCP 服务 器 来 控制 ,从 根本 上 避免 了 IP 地址 冲 


突 。 而 且 DHCP 服务 器 可 以 按照 MAC 地 址 来 预 留 IP 地 址 ,这 样 也 可 以 保证 客户 端 不 
能 随便 改动 自己 的 IP 地 址 。 如 果 关 闭 公 共 的 IP 地 址 池 ,未 经 预 留 IP 的 网 络 设备 就 得 
不 到 正确 的 IP 地 址 ,从 而 不 能 进入 网 络 。 
3.1.2 DHCP 服务 器 的 安装 

首先 检查 DHCP 服务 器 是 否 已 经 安装 。 如 果 没 有 安装 ,可 通过 依次 单 击 “ 开 始 ” 一 
“设置 ”一 “控制 面板 ”添加 /删除 程序 命令 来 安装 该 组 件 。 该 组 件 位 于 “网 络 服务 组 
件 中 ,需要 安装 该 组 件 时 ,只 需 双 击 * 网 络 服务 ?选项 ,使 DHCP 动态 服务 项 有 效 , 即 可 进 
行 组 件 的 安装 (如 图 3-1 所 示 ) 。 


组 件 安装 成 功 之 后 ,通过 单 击 “ 开 始 "一 "程序 ”一 "管理 工具 ”一 DHCP 命令 ,可 打 


| 
i 请 玫 于 和 公交 人 未 R 全 安 站 人 的 一 


网 络 服务 的 子 组 件 人 ) 

问 加 9os 许可 控制 服务 

口 轩 site Server ILS 服务 

回国 Yindows Internet 名 称 服务 QiTNS) 
动态 主机 配置 协议 “CNCP 


回 加 域名 服务 系统 DNS) 1.1 上 
描述 : 如 THCP 服务 器 为 同一 个 网 络 上 的 客户 计算 机 自动 分 配 恪 时 的 IP 地 


所 需 磁盘 空间 : 2.8 上 详细 信息 0) 
可 用 磁盘 空间 : 2574.3 有 
— ww | 


图 3-1 安装 DHCP 服务 


DHCP 服务 器 。 默 认 情 况 下 ,其 中 有 服务 器 的 FQDN( Fully Qualified Domain Name, 完 
全 合格 域名 ) ,比如 server-lin. bookpub. edu. cn。 如 果 没 有 , 则 需要 在 DHCP 上 单 击 鼠标 
右键 ,进行 服务 器 的 添加 。 要 在 本 地 主机 上 建立 DHCP 服务 器 ,可 通过 浏览 的 方式 找到 
本 地 主机 serverlin ,并 添加 到 管理 窗口 (如 图 3-2 所 示 ) 。 


6 可 
上 换 fKa) 坦 看 || + 小 | 鲁 | 四 | 加 | 岛 | 县 


图 3-2 添加 DHCP 服务 器 


SS 


如 图 3-3 所 示 是 添加 了 服务 器 之 后 的 DHCP 窗口 。 
注意 : 在 没有 建立 作用 域 之 前 ,服务 器 上 有 一 个 向 下 的 红色 箭头 标志 。 


上 哲人 坦 看 W | 全 示 | 名 | 加 |X* 轿 加 | 岛 || 旦 
树 | | server-in,bookpub,edu,cn [211,66.64,44] 


在 DHcP 服务 器 可 以 发 行 IP 地址 
前 ， 您 必须 创建 一 个 作用 域 并 授权 
该 DHCP 服务 器 。 


作用 域 是 指 指派 给 请 求 动态 地址 
的 人 p 地 址 | 。 授 


图 3-3 DHCP 服务 器 窗口 


3.1.3 DHCP 服务 器 的 设置 

设置 DHCP 服务 器 数据 ,首先 是 建立 一 个 新 的 作用 域 (Scope)。 作 用 域 是 指派 给 请 
求 动态 IP 地 址 的 计算 机 的 IP 地 址 的 范围 。 

欲 建 立 作用 域 , 单 击 "操作 ” 菜 单 中 的 “新 建 作用 域 " 命 令 , 或 在 服务 器 名 上 右 击 从 弹出 
的 快捷 菜单 中 选择 “新 建立 作用 域 ”选项 ,然后 通过 “作用 域 向 导 ” 一 步 步 引导 在 本 地 计算 
机 上 建立 第 一 个 作用 域 。 

为 了 标识 此 作用 域 在 网 络 上 的 作用 ,在 “名 称 ” 和 “说 明 ” 文 本 框 内 输入 该 作用 域 的 名 
称 和 说 明 性 文字 ,如 图 3-4 所 示 。 输 入 完 后 . 单 击 * 下 一 步 " 按 钮 ,进行 IP 地 址 范围 的 
设置 。 


新 建 作 用 域 向 导 


作用 域名 
您 提供 了 一 个 用 于 识别 的 作用 域名 称 。 您 还 可 以 提供 一 个 描述 。 


站 此 信息 帮助 您 快速 标识 此 作用 域 在 网 络 上 的 作 


名 称 的):; | 局 成 丙 \ 1 
说 明 四 ): | 广州 航海 高 等 专科 学 校 网络 中 心 大 楼 


《上 一 步 @)| 下 一 步 中 > 取消 


图 3-4 设 定 作用 域 的 名 称 


根据 DHCP 服务 器 要 分 配给 客户 机 IP 地 址 的 范围 .在 “起 始 IP 地 址 ”和 “结束 IP 地 
址 ”文本 框 中 分 别 输入 合法 的 IP 地 址 。 下 面 的 长 度 和 子 网 掩 码 , 系 统 将 根据 所 输入 的 IP 
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地 址 自动 设置 ,如 果 有 特殊 的 要 求 , 可 以 自行 修改 。 如 图 3-5 所 示 。 


有 新建 作 用 域 向 导 


图 3-5 ”IP 地 址 范围 的 设 定 


在 局 域 网 中 ,可 能 某 些 主机 的 IP 地 址 是 固定 的 ,不 可 改变 的 ,比如 提供 WWW、FTP、 
E-mail 服务 的 主机 ,那么 这 些 IP 地 址 就 不 能 再 分 配给 其 他 的 主机 使 用 ,否则 将 发 生 IP 地 
址 冲突 。 如 果 有 这 种 需要 ,在 如 图 3-6 所 示 的 “添加 排除 ?对 话 框 中 ,可 以 把 这 些 IP 地 址 
排除 掉 ,避免 DHCP 把 这 些 IP 地 址 分 配 出 去 。 


3-6 ”IP 地 址 的 排除 


在 如 图 3-7 所 示 的 对 话 框 中 ,可 以 设 定 服务 器 分 配 的 作用 域 的 租约 期 限 。 租 约 期 限 
用 于 指定 一 个 客户 端 由 此 作用 域 租用 IP 地 址 的 时 间 长 短 ,系统 默认 是 8 天 。 设 置 完成 
后 , 单 击 “ 下 一 步 ” 按 钮 。 

在 弹出 的 对 话 框 中 单 击 “ 是 ,我 想 配 置 这 些 选项 " 单 选 按钮 ,可 以 继续 配置 分 配给 工作 
站 的 默认 的 网 关 、 默 认 的 DNS 服务 地 址 、 默 认 的 WINS 服务 器 。 在 如 图 3-8 所 示 的 对 话 
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框 中 输入 客户 机 使 用 的 路 由 器 (网 关 ) 的 IP 地 址 ,输入 完毕 , 单 击 " 下 一 步 "按钮 。 


新 建 作 用 域 向 导 


租约 期 限 
租约 期 限 指定 了 一 个 客户 端 从 此 作用 域 使 用 IP 地 址 的 时 间 长 短 。 


图 3-7 租约 期 限 的 设 定 


路 由 器 菊 认 网 关 ) 
您 可 为 指定 此 作用 域 要 分 配 的 路 由 器 或 默认 网 关 。 


图 3-8 网 关 的 配置 


打开 如 图 3-9 所 示 的 对 话 框 , 系 统 询问 将 要 提供 给 客户 机 使 用 的 DNS 服务 器 的 IP 
地 址 。 可 以 在 “服务 器 名 ”文本 框 中 输入 DNS 服务 器 的 域名 ,然后 单 击 “ 解 析 ” 按 钮 由 系统 
解析 出 该 服务 器 的 IP 地 址 ,或 者 在 “IP 地 址 ”文本 框 中 直接 输入 DNS 的 IP 地 址 。 输 入 
完毕 , 单 击 “ 下 一 步 ” 按 钮 。 

打开 如 图 3-10 所 示 的 对 话 框 ,输入 为 客户 机 提供 WINS 服务 的 WINS 服务 器 的 IP 
地 址 。 可 以 输入 多 个 WINS 服务 器 的 IP 地 址 ,输入 完毕 , 单 击 “ 下 一 步 ” 按 钮 。 

至 此 ,DHCP 服务 器 配置 完毕 。“ 新 建 作用 域 向 导 ” 对 话 框 询问 是 否 马 上 激活 该 作用 域 ， 
单 击 “ 是 ,我 想 现在 激活 此 作用 域 " 单 选 按钮 后 , 单 击 “ 下 一 步 "按钮 (如 图 3-11 所 示 ) 。 
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新 建 作用 域 向 导 x 


域名 称 和 最 务 器 
域名 系统 DNS) 映射 并 转换 网 络 上 的 计算 机 使 用 的 域名 称 。 


TPR Ens 


图 3-10 默认 WINS 服务 器 的 配置 


3-11 激活 作用 域 
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此 时 ,DHCP 服务 器 开始 提供 服务 。 仔 细 观 察 . 可 以 发 现 服务 器 上 的 箭头 变 成 了 绿 
色 向 上 的 箭头 (如 图 3-12 所 示 ) 。 


Bserver-in.bookpub.edu | 国 211. 
生 作用 域 [211 


图 3-12 DHCP 窗口 


3.1.4 DHCP 服务 器 的 管理 


在 DHCP 窗口 中 ,选中 地 址 池 , 可 查看 DHCP 服务 器 能 够 为 客户 机 分 配 的 IP 地址 的 
范围 以 及 该 范围 中 被 排除 的 IP 地址 范围 (如 图 3-12 所 示 )。 

选中 DHCP 目录 树 中 的 “地 址 租约 ?选项 ,可 以 查看 DHCP 服务 器 的 IP 地 址 的 分 配 
情况 ,比如 该 客户 机 的 机 器 名 ,以 及 该 客户 机 获得 的 IP 地 址 的 租 期 截止 日 期 等 (如 图 3-13 
所 示 )。 


i pncp 本 中 所 


一 一 一 


2004-8-7 15:22:18 
2004-8-7 14;59;51 
2004-8-7 15:28:43 
2004-8-7 15:15:04 
2004-8-7 15:09;14 
2004-8-7 14;46;27 


& 


2004-8-7 15:;19:47 


2004-8-7 15:15;17 
2004-8-7 16:40:55 
2004-8-7 17:56:48 


中 E 工 总 台 巴 于 过 厚 


训 


图 3-13 IP 地址 租约 


选中 DHCP 目录 树 中 的 “保留 ?选项 ,可 以 把 某 些 IP 地 址 保留 给 特殊 的 用 户 , 确 保 
DHCP 客户 永远 可 以 得 到 同一 个 IP 地 址 。 要 添加 一 个 保留 ,可 在 “操作 ”菜单 中 单 击 “ 新 
建 保留 "命令 ,打开 “新 建 保留 ”对话 框 。 输 入 被 保留 给 客户 机 的 IP 地 址 以 及 客户 机 的 
MAC 地 址 ,然后 单 击 “ 添 加 ”按钮 即 可 (如 图 3-14 所 示 )。 

选中 DHCP 目录 树 中 的 “作用 域 ? 选 项 ,可 以 查看 DNS 服务 器 、WINS 服务 器 、 网 关 
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保留 名 称 @); [ER 
i: 


wey 


说 明 双 ): IE 


他 两 者 四 ) 
个 仅 Dr 
个 惨 B00TF@) 


图 3-14 ”IP 地址 保留 


主机 的 IP 地 址 和 WINS 服务 器 的 节点 类 型 等 (如 图 3-15 所 示 )。 


DHG 
rver-in,bookpub,edu | 镶 003 路 由 器 标准 型 211 ~ 
作用 域 [211 地 006 DN5 服务 器 标准 型 211，- 和 
地 址 池 ， 中 o44 WINS/NBN5S 服务 器 标准 型 211. 二 ha 
二 地 址 租约 入 046 wINSINBT 节点 类 型 标准 型 0x8 


全 保 贸 
/二 作用 域 选 项 
全 服务 器 选项 


图 3-15 作用 域 选 项 


在 使 用 DHCP 服务 的 局 域 网 环境 下 ,如 果 网 络 出 现 什么 变化 ,只 需 在 DHCP 服务 器 
上 进行 修改 ,整个 网 络 就 可 以 重新 使 用 ,而 客户 端 仅 仅 需要 重新 启动 一 次 ,重新 获得 IP 地 
址 就 可 完成 网 络 设置 的 修改 。 反 之 ,如 果 采 用 固定 IP 地 址 的 方案 ,那么 就 要 修改 每 一 台 
计算 机 ,无 疑 这 是 非常 痛苦 的 。 

不 过 DHCP 模式 也 有 自身 的 缺点 , 那 就 是 需要 占用 一 台 机 器 来 专门 做 DHCP 服务 
器 。 特 别 是 在 主机 很 多 的 情况 下 ,如 果 服 务 器 不 稳定 :还 会 出 现 IP 不 能 回收 以 及 IP 发 放 
不 出 去 的 问题 。 所 以 ,需要 为 DHCP 服务 器 做 好 备份 :一旦 出 现 问题 ,可 以 采用 备份 进行 
恢复 。 
3.1.5 DHCP 数据 的 备份 与 还 原 

DHCP 服务 器 的 相关 数据 均 保 存在 数据 库 dhcp. mdb 中 ,在 Windows Server 2003 
中 该 文件 存放 在 \WINNT\system32\dhcp 目录 下 。 其 中 ,dhcp. mdb 是 主要 的 数据 库 文 
件 , 其 他 的 文件 是 dhcp. mdb 的 辅助 文件 。 对 于 DHCP 服务 器 的 正常 运行 ,这 些 文件 起 
着 重要 的 作用 ,一 般 不 要 修改 其 中 的 数据 。 


(1) DHCP 数据 库 的 备份 

在 \WINNT\system32\dhcp 文件 夹 下 ,有 一 个 backup 子 文件 夹 ,该 文件 夹 中 存放 的 
是 DHCP 数据 库 及 相关 文件 的 备份 。DHCP 服务 器 每 隔 60 分 钟 更 新 一 次 该 文件 夹 。 为 
了 防止 DHCP 服务 器 在 运行 时 出 现 问题 ,可 以 备份 该 文件 来。 为 了 保证 备份 的 完整 及 安 
全 ,备份 时 最 好 停止 DHCP 服务 器 的 运行 。 

(2) DHCP 数据 库 的 恢复 

DHCP 服务 器 启动 时 ,会 自动 检查 DHCP 数据 库 是 否 完整 ,如 果 发 现 损坏 ,将 自动 用 
\WINNT\system32\dhcp\backup 文件 夹 内 的 数据 进行 还 原 。 但 当 backup 文件 夹 中 的 
文件 被 损坏 时 ,系统 将 无 法 自动 完成 还 原 工作 。 此 时 可 以 用 事先 备份 的 数据 直接 覆盖 
backup 文件 夹 , 然 后 重新 启动 DHCP 服务 器 ,让 DHCP 服务 器 自动 用 新 的 数据 进行 还 
原 。 为 了 保证 数据 恢复 的 完整 无 误 , 建 议 对 数据 进行 还 原 时 , 先 停 止 DHCP 服务 器 的 

运行 。 

3.1.6 DHCP 客户 机 的 设置 

下 面 以 Windows XP 系统 为 例 介 绍 DHCP 客户 机 的 设置 。 打 开 Windows XP 系统 
的 TCP/IP 配置 对 话 框 , 把 IP 的 获得 方式 设置 为 “自动 获得 IP 地 址 ” ,域名 获得 方式 设置 
为 “自动 获得 DNS 服务 器 地 址 ”( 如 图 3-16 所 示 )。 在 字符 界面 下 执行 ipconfig /renew 命令 
或 重新 启动 机 器 ,运行 ipconfig 命令 即 可 看 到 客户 机 已 经 成 功 获 得 相关 服务 器 的 IP 地 址 。 

本 可 
鳃 | 
外 放生 的 下 


他 自动 获得 IP 地 址 0) 
FC 使 用 下 面 的 IP 地 址 (8); 


ITP 地 赴 加 I 
子 网 擂 码 0 
默认 网关 人 0 | a E 


i 全 有 下 ms 过 (1): 
首选 DNS 服务 器 加) 


备用 DNS 服务 器 的) [ 


图 3-16 DHCP 客户 机 的 配置 


3.2 域名 服务 器 (DNS) 的 设置 与 管理 


3.2.1 DNS 服务 器 概述 
众所周知 ,无 论 在 Internet 上 还 是 在 局 域 网 中 .服务 器 提供 如 WWW,FTP 等 服务 
时 ,用 户 车 要 访问 服务 器 上 的 资源 , 需 在 本 地 计算 机 的 浏览 器 地 址 栏 中 输入 对 方 计算 机 的 
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域名 方 可 登录 到 服务 器 上 。 实 质 上 ,域名 最 终 要 转换 成 服务 器 的 IP 地 址 。 所 以 ,本 质 上 
是 借助 IP 地 址 与 服务 器 建立 连接 。 

那么 ,为 什么 不 直接 采用 IP 地 址 去 寻找 服务 器 呢 ? 道理 很 明显 ,难以 记忆 ,难以 理 
解 ,没有 规律 ,枯燥 的 数字 等 。 试 想 一 下 ,为 了 登录 一 个 服务 器 ,要 记忆 那么 多 枯燥 的 数字 
是 多 么 可 怕 的 事情 。 现 在 ,Internet 上 有 无 数 台 接 入 网 络 的 计算 机 ,仅仅 凭借 数字 去 访问 
的 确 是 不 符合 实际 的 。 

主机 的 IP 地 址 可 以 唯一 标识 网 络 上 主机 的 身份 ,除非 计算 机 不 接 人 Internet, 仅 仅 
在 局 域 网 中 工作 ,那么 可 以 采用 私有 地 址 ,但 两 台 计算 机 的 IP 地 址 同样 不 可 冲突 。 在 局 
域 网 中 ,一 般 采 用 主机 名 访问 主机 ,而 不 直接 采用 IP 地 址 或 者 MAC 地 址 ,这 些 地 址 太 村 
燥 。 正 如 人 们 的 身份 证 一 样 , 它 是 一 个 人 身份 的 唯一 标识 ,是 不 冲突 的 。 但 寻找 某 个 人 
时 ,一 般 不 用 身份 证 , 而 是 用 名 字 。 同 样 ,在 学 校 里 称呼 同学 也 用 名 字 , 而 不 用 如 
20010319 这 样 的 学 号 。Internet 或 公司 的 内 部 局 域 网 为 使 用 者 提供 了 丰富 的 网 络 资源 ， 
比如 WWW,FTP,BBS,E-mail 等 ,数量 巨大 。 那 么 ,如 此 多 的 主机 ,作为 访问 者 怎么 去 识 
别 呢 ? 为 了 解决 这 个 问题 ,计算 机 专家 们 引入 了 DNS 服务 。 

DNSCDomain Name System) 是 域名 系统 的 简称 ,用 于 将 容易 记忆 的 域名 转换 成 相应 
的 IP 地 址 ,从 而 方便 用 户 记忆 并 访问 相关 的 网 络 服务 。 

DNS 域名 结构 是 一 个 层次 非常 鲜明 的 树 形 结构 ,如 图 3-17 所 示 。 对 于 一 个 给 定 的 
域名 ,从 某 种 意义 上 来 说 ,右边 为 大 ,左边 为 小 。 比 如 广州 航海 高 等 专科 学 校 的 域名 
http://www. gzhmt. edu. cn ,从 右边 起 ,其 中 
cn 代表 该 服务 器 在 中 国 ,edu 代表 该 服务 器 直 
接连 入 中 国教 育 科 研 网 , gzhmt(guangzhou 
maritime college) 是 广州 航海 高 等 专科 学 校 在 
中 国教 育 科研 网 为 自己 单位 所 申请 的 一 个 域 
名 。 这 样 广州 航海 高 等 专科 学 校 就 可 以 在 
gzhmt 这 个 子 域 之 内 建立 本 单位 所 提供 的 网 
络 服务 , 比如 www. gzhmt. edu. cn，ftp. 
gzhmt. edu. cn, wwwl. gzhmt. edu. cn 等 。 表 图 3-17 DNS 域名 结构 
3-1 中 列 出 了 一 个 域名 称 空间 内 的 域名 称 类 型 
及 其 说 明 。 


Root DNS(.) 


表 3-1 域名 的 类 型 及 其 说 明 
域名 类 型 说 明 
域名 称 空间 树 的 最 高 部 分 。 全 球 有 几 台 主要 的 DNS 服务 器 ,负责 管理 世界 各 大 网 
络 的 DNS 服务 器 。 根 域 通常 用 一 个 专门 的 .指定 
由 2 一 3 个 英文 字母 组 成 ,并 且 有 一 定 的 意义 ,一 般 采 用 相对 意义 的 英文 单词 缩写 或 
顶层 域 相对 代码 ,用 于 指定 国家 、 地 区 和 机 构 类 型 所 使 用 的 名 称 , 必 须 从 Internet 管理 机 构 
获得 顶层 域名 称 。 如 com 是 指 商业 机 构 ,gov 是 指 政府 机 构 ,cn 是 指 中 国 
由 一 些 域名 提供 商 出 租 给 个 人 或 企业 、 机 构 的 服务 ,如 www. 163. com 这 个 域名 中 
163 就 属于 二 层 域 


根 域 


二 层 域 


~ 


续 表 
域名 称 类 型 说 明 


子 域 机 构 内 部 使 用 的 不 同 长 度 的 域名 ,可 以 在 域名 称 空间 内 任意 指定 子 域 的 数量 和 层 


主机 或 资源 名 称 | 机 构 内 部 计算 机 或 计算 机 组 的 名 称 , 可 以 任意 指定 资源 名 称 数 


假设 用 户 在 gzhmt 域内 要 查询 www. 163. com 这 个 DNS 名 称 的 IP 地 址 ,以 图 3-17 
所 示 的 结构 为 例 , 下 面 介绍 从 本 地 计算 机 查询 一 个 Internet 上 的 计算 机 域名 的 过 程 。 

(1) 首先 这 个 查询 要 求 被 送 到 gzhmt 这 台 DNS 服务 器 (这 是 广州 航海 高 等 专科 学 校 
设立 的 DNS 服务 器 ,域名 为 gzhmt. edu. cn) ,DNS 服务 器 在 自己 建立 的 域名 数据 库 中 查 
找 是 否 有 与 www. 163. com 相 匹 配 的 记录 。 

(2) 如 果 在 域名 服务 器 的 数据 库 中 不 存在 匹配 的 记录 ,DNS 服务 器 将 访问 域名 组 
存 。 域 名 缓存 中 存储 的 是 从 其 他 DNS 服务 器 转发 的 域名 解析 结果 。 

(3) 如 果 域 名 缓存 中 没有 查询 到 该 记录 , 则 按照 DNS 服务 器 的 设置 转发 这 个 域名 解 
析 到 其 他 DNS 服务 器 上 进行 查询 。 具 体 步 又 如 下 ， 

Q@ 首先 将 这 个 查询 往 上 转 给 www. gzhmt. edu. cn 的 上 级 edu 这 台 DNS 服务 器 。 

@ 然后 在 edu 这 台 域 名 服务 器 中 查找 www. 163. com 这 个 DNS 名 称 , 如 果 找 不 到 ， 
再 转 给 cn 这 台 DNS 服务 器 处 理 。 

@ 同样 ,如 果 在 cn 中 也 找 不 到 ,将 转 给 根 域 服务 器 (. ) 处 理 。 

@ 通过 根 域 服务 器 (. ) 的 判断 ,发 现 这 个 DNS 名 称 (www. 163. com) 在 com 这 台 
DNS 服务 器 的 管辖 范围 内 ,因此 又 转 给 com 处 理 。 

@ 最 后 ,在 com 域名 服务 器 上 查 出 www. 163. com 的 IP 地 址 。 这 个 查询 结果 会 按 
照 刚 才 的 线路 反 向 传 回 到 源 计算 机 。 

3.2.2 域名 服务 器 的 分 类 

根据 工作 方式 的 不 同 , 域 名 服务 器 可 以 分 为 以 下 3 类 。 

(1) 主 域名 服务 器 

主 域 名 服务 器 是 DNS 的 主要 成 员 ,对 Internet 中 域名 数据 的 发 布 和 查找 起 到 非常 重 
要 的 作用 ,用 来 存放 该 区 域 中 相关 设置 的 DNS 服务 器 ,提供 本 区 域 中 地 址 的 来 源 。 在 一 
台 DNS 服务 器 上 建立 一 个 区 域 文件 时 ,有 关 该 新 建 区 域 中 的 主机 数据 都 直接 存放 在 该 
DNS 服务 器 中 , 主 域 名 服务 器 得 到 授权 来 响应 对 区 域 的 查询 。 有 时 一 个 主 域名 服务 器 也 
被 称 为 一 个 主 服务 器 。 

(2) 辅 域 名 服务 器 

辅 域名 服务 器 是 备份 服务 器 ,也 被 称 为 从 属 服务 器 。 它 不 是 区 域 源 数据 存放 的 地 方 ， 
但 被 授权 响应 域名 的 查询 。 辅 域名 服务 器 中 的 数据 不 是 直接 输入 的 ,通常 从 区 域 的 主 
DNS 服务 器 获得 区 域 数据 ,只 是 一 个 副本 ,所 以 辅 域名 服务 器 中 的 数据 无 法 被 修改 。 

(3) 缓存 域名 服务 器 

缓存 域名 服务 器 只 负责 查询 数据 ,而 不 承担 任何 其 他 的 工作 。 它 将 DNS 客户 端 曾经 
查 到 的 数据 保存 在 高 速 缓存 中 ,当下 一 次 DNS 客户 端 再 次 查询 相同 的 数据 时 ,如 果 高 速 
缓存 内 存在 该 数据 , 则 可 以 快速 将 数据 提供 给 客户 端 。 
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缓存 域名 服务 器 没有 包含 许多 主机 的 区 域 , 也 不 从 其 他 DNS 服务 器 传送 数据 。 缓 存 
域名 服务 器 不 但 可 以 分 担 网 络 的 工作 量 , 而 且 可 以 让 DNS 客户 端 快速 地 进行 查询 。 


3.2.3 主要 资源 记录 介绍 


1. 主机 记录 (又 称 为 A 记录 ) 

主要 用 来 静态 地 建立 主机 与 IP 地 址 之 间 的 对 应 关系 ,提供 正 向 查询 (由 域名 查询 IP 
地 址 ?服务 。 通 常 ,在 DNS 服务 器 上 要 为 每 种 服务 都 创建 一 个 A 记录 ,如 FTP,WWW， 
POP3 等 。 比 如 ,一 台 计 算 机 的 名 字 是 serverlin,IP 地 址 为 211. 66. 78. 9, 那 么 可 以 在 
DNS 服务 器 (gzhmt. edu. cn) 上 建立 该 计算 机 的 主机 记录 ,然后 可 以 通过 ping server-lin. 
gzhmt. edu. cn 查询 该 主机 的 IP 地 址 。 


2. 邮件 交换 (Mail Exchanger) 记 录 

当 收 发 邮件 时 ,邮件 交换 记录 将 告诉 哪 一 台 服 务 器 负责 邮件 的 收发 。 通 常 ,在 一 个 局 
域 网 内 进行 邮件 收发 时 ,可 以 不 用 建立 邮件 交换 记录 。 例 如 有 一 个 域名 为 bookpub. edu. 
cn 的 局 域 网 ,在 这 个 局 域 网 内 不 必 建 立 邮件 交换 记录 , 当 用 户 使 用 user@bookpub. edu. 
cn 的 方式 收发 邮件 时 ,不 会 有 什么 问题 。 不 过 ,这 样 的 邮件 收发 仅仅 被 限定 在 一 个 局 域 
网 内 部 。 如 果 一 个 用 户 想 与 Internet 上 的 邮件 之 间 进 行 收发 邮件 时 (确切 地 说 是 收 , 因 为 
发 送 邮件 时 ,一般 对 发 送 者 的 邮件 地 址 和 域名 不 进行 检查 和 解析 ,只 要 接收 者 的 邮件 地 址 
没有 错误 ,就 可 以 收 到 。 比 如 在 邮件 服务 器 上 随便 建立 一 个 没有 注册 的 域名 ,不 必 在 
DNS 上 建立 MX 记录 ,就 可 以 发 出 该 邮件 ) ,就 必须 建立 邮件 交换 记录 。 

当 一 个 域 中 有 两 个 以 上 的 MX 记录 时 ,DNS 服务 器 首先 使 用 优先 级 值 最 小 的 一 个 邮 
件 服 务 器 ,如 果 这 个 邮件 服务 器 无 法 进行 通信 ,再 依次 试用 优先 级 值 大 的 其 他 邮件 服 
务 顺 。 


3. CNAME 别名 记录 

前 面 已 经 为 主机 server-lin 建立 了 一 条 主机 记录 ,但 是 若 该 主机 上 提供 了 多 种 服务 ， 
比如 提供 了 两 个 WWW 服务 ,一 个 FTP 服务 。 在 实际 需要 时 ,可 以 通过 下 面 的 方式 访问 
该 服务 , 比如 http://www. gzhmt. edu. cn, http://info. gzhmt. edu, ftp://ftp. gzhmt. 
edu. cn。 现 在 的 情况 是 ,三 个 域名 都 指向 同一 台 计 算 机 ,这 样 就 要 求 必须 在 DNS 上 为 该 
计算 机 建立 多 个 域名 。 

在 这 种 情况 下 ,可 以 采用 别名 记录 的 方法 为 该 主机 server-lin 建立 多 个 域名 ,这 样 用 
户 输入 三 个 域名 中 的 任何 一 个 ,都 可 以 从 该 计算 机 上 得 到 需要 的 服务 。 

4. PTR 记录 

PTR 记录 存放 在 反 向 查询 区 域 中 ,功能 和 A 记录 相反 ,用 于 记载 如 何 由 IP 地 址 查询 
DNS 名 称 的 信息 。 
3.2.4 域名 服务 器 的 安装 与 配置 

查看 域名 服务 系统 DNS 是 否 已 经 安装 ,如 果 没 有 安装 ,可 以 通过 依次 单 击 “ 开 始 ” 一 
“控制 面板 ”>“ 添 加 /删除 程序 ”命令 进行 组 件 的 安装 。 单 击 “ 添 加 /删除 Windows 组 件 ” 
按钮 ,打开 “Windows 组 件 向 导 ” 对 话 框 ,DNS 组 件 包 含 在 “网 络 服务 ?组件 中 ,只 需 查看 网 


AN 


回转 域名 服务 系统 ONS) 11 电 局 


描述: pia be ty }) 通过 Internet Information 


所 需 磁 盘 空间 : 2.8 上 详细 信息 中) 
可 用 磋 盘 空间 : | 


图 3-18 DNS 服务 的 安装 


组 件 安装 好 后 , 单 击 * 开 始 ”-* 程 序 ” 一 "管理 工具 ”命令 ,将 看 到 Windows Server 
2003 提供 的 DNS 服务 。 默 认 情 况 下 ,DNS 已 经 与 本 地 计算 机 建立 连接 ,和 否则 可 以 在 
DNS 上 单 击 右键 从 快捷 菜单 中 选择 需要 连接 的 目标 计算 机 。 该 目标 计算 机 可 以 是 本 机 ， 
也 可 以 是 远程 计算 机 。 在 本 地 计算 机 上 可 以 管理 本 地 的 DNS 服务 器 ,也 可 以 连接 到 其 他 
的 DNS 服务 器 上 ,远程 管理 其 他 服务 器 上 的 DNS 系统 。 前 提 条 件 是 服务 器 之 间 需 要 有 
信任 关系 ,并 且 需 要 以 具备 管理 DNS 身份 的 用 户 登 录 。 

下 面 以 在 本 地 建立 DNS 服务 为 例 进行 讲解 。 

在 DNS 上 单 击 鼠标 右键 ,从 快捷 菜单 中 选择 需要 连接 的 目标 计算 机 ,弹出 “连接 到 
DNS 服务 器 "对话 框 , 单 击 “ 这 人 台 计 算 机 ? 单 选 按钮 ,表示 将 要 建立 的 DNS 服务 器 运行 在 
本 地 计算 机 上 (如 图 3-19 所 示 ) 。 

EECECR x 
Windows DNS 服务 器 运行 于 : 
人 这 i 计 革 机 人 
个 下 列 计算 机 0D: 
一 一 一 


灰 立即 连接 到 指定 计算 机 已) 


Ce |] ws | 


图 3-19 连接 本 地 计算 机 


同时 选中 “立即 连接 到 指定 计算 机 ” 复 选 框 ,连接 成 功 之 后 , DNS 服务 器 的 状态 如 
图 3-20 所 示 ,同时 可 以 看 到 ,本 地 计算 机 的 NetBIOS 名 字 是 SERVER-LIN。 

在 如 图 3-20 所 示 的 DNS 服务 器 窗口 中 , 右 击 * 正 向 搜索 区 域 ?选项 ,从 弹出 的 快捷 菜 
单 中 选择 “新 建 区 域 ” 选 项 (如 图 3-21 所 示 ) ,将 启动 新 建 区 域 向 导 ,为 DNS 建立 一 个 新 区 
域 。 该 区 域 是 一 个 数据 库 , 它 将 链接 DNS 名 称 和 相关 数据 ,比如 主机 域名 和 主机 的 IP 地 
址 等 。 
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EDNS Ely 


人 GD) 添加 新 区 域 
域名 称 系统 Chs) 允许 将 DNs 名 称 空间 分 成 
区 城 。 每 个 区 域 存储 有 关 一 个 或 多 个 连续 的 
DNS 域 的 信息 。 


要 添加 一 个 新 区 域 ， 请 在 "操作 ' 演 单 下 单 击 " 


日 - 目 sERyER-UN 


OPE 
加 反 向 搜索 区 域 


图 3-20 DNS 服务 器 窗口 


ESIzxl 
」] 号 控制 台 (C) 窗口 (Ww) ”帮助 (H) |=1e| >| 
」 架 作 (&) 查看 W || 全 少 | 旬 | 加 | 加 | 多 


(GD) 添加 新 区 域 


系统 DNS) 允许 将 DNS 名 称 空间 分 成 
每 个 区 域 存储 有 关 一 个 或 多 个 连续 的 
的 信息 。 

个 亲 区域， 请 在 蝇 作 这 单单" 


区 或 i 
图 3-21 新 建 区 域 


在 如 图 3-22 所 示 的 对 话 框 中 ,“ 新 建 区 域 向 导 ” 询 问 是 否 为 DNS 服务 器 创建 一 个 新 区 
域 ,不 同意 可 单 击 “ 取 消 ” 按 钮 ,同意 则 单 击 “ 下 一 步 ” 按 钮 继续 。 这 里 单 击 “ 下 一 步 "按钮 。 


欢迎 使 用 新 建 区 域 向 导 


此 向 导 帮 助 您 为 DNS 服务 器 包 陡 一 个 新 区 域 。 


区 域 是 一 个 数据 库 ， 链 接 DNS 名 称 和 相关 数据 ,例如 
亚 地 址 或 网 络 服务 。 


要 继续 ,请 单 击 “ 下 一 步 ”。 


图 3-22 ”新建 区 域 向 导 


网 络 管理 与 安全 


在 如 图 3-23 所 示 的 对 话 框 中 ,Windows 系统 为 DNS 服务 提供 了 3 种 方法 来 获取 并 
保存 区 域 信息 。 这 里 以 选中 “Active Directory 集成 的 区 域 ”为 例 来 介绍 ,管理 员 可 以 根据 
自己 的 需要 来 选择 。 这 3 个 选项 的 主要 内 容 如 下 : 

@ Active Directory 集成 的 区 域 : 将 新 区 域 保存 到 Active Directory ,提供 安全 更 新 
和 集成 的 存储 。 

@ 标准 主要 区 域 : 将 新 区 域 主 副本 保存 到 一 个 文本 文件 中 。 该 选项 有 利于 与 其 他 
使 用 基于 文本 存储 方面 的 DNS 服务 器 交换 DNS 数据 。 

@ 标准 辅助 区 域 : 创建 一 个 现 有 区 域 的 副本 。 该 选项 帮助 主 服务 器 平衡 处 理 的 工 
作 量 , 并 提供 容错 。 


有 新建 区 域 向 导 


区 域 类 型 
Windows 可 以 用 三 种 方法 获 职 并 保存 区 域 信息 。 


3-23 区域 类 型 选择 


在 如 图 3-24 所 示 的 对 话 框 中 ,输入 该 区 域 的 名 称 , 这 里 输入 bookpub. edu. cn, 然 后 
单 击 “下 一 步 ?按钮 , 即 完成 该 区 域 的 建立 。 向 导 最 后 证 实 已 经 成 功 完成 新 建 区 域 向 导 ,并 


悠 想 为 新 区 域 起 什么 名 称 ? 


图 3-24 设 定 区 域名 称 
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列 出 在 配置 过 程 中 指定 的 设置 ,如 图 3-25 所 示 。 
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村 
正在 完成 新 建 区 域 向 导 
您 已 成 功 完成 了 新 建 区 域 向 导 。 您 指定 了 如 下 设置 
名 称 bookpub. edu cn 
类 型 Active Directory 集成 的 主 服务 器 
搜索 类 型 正 向 
要 关闭 此 向 导 并 创建 新 区 域 ， 请 单 击 “ 完 成 ”。 
‘sw my | 


图 3-25 ”完成 新 建 区 域 向 导 


通过 单 击 “开始 ”程序 "一 "管理 工具 ”命令 启动 DNS 服务 ,其 主 界面 如 图 3-26 所 


示 , 下 面 将 在 DNS 服务 器 上 添加 相关 记录 。 


ma - [DNS\SERYER-LIN\ 正 向 查找 区 域 \beokpub- edn ca 
铝 文件 到 ) 操作 忆 ) 查看 WD) 窗口 和 帮助 0) 


二 dnsmgmt 


=lelxl 
| 可可 到 


分 小 | 全 | 四 | 久 回 驹 | 允 | 目 目 合 


Ds 
日 - 目 szByga-LIN 


bookpub. edu en ”3 个 记录 


日 i 国 占 女 文件 夹 相同 ) 。 起 始 授权 机 构 SOA) [1]，server-lin 
”部 本 到 | 国 (5 公文 件 天 相同 ) 。 名 称 服务 器 0S) server-lin 
昌 久 a 国 server-lin 主机 211. 66 mm 


| lL 


图 3-26 ”DNS 主 窗口 


1. 添加 A 记录 
DNS 服务 器 创建 完成 之 后 ,需要 添加 主机 记录 才能 真正 实 


现 DNS 解析 服务 。 该 过 


程 也 就 是 在 该 DNS 服务 器 中 添加 与 主机 名 和 IP 地 址 对 应 的 数据 ,从 而 把 DNS 主机 名 与 
其 IP 地 址 一 一 对 应 起 来 。 这 样 , 当 用 户 输入 主机 域名 时 ,才能 解析 成 相应 的 IP 地 址 并 实 


现 对 服务 器 的 访问 。 


在 DNS 控制 台 窗 口中 ,展开 左 窗 格 目 录 树 中 的 “ 正 向 搜索 区 域 " 选 项 , 右 击 欲 添加 主 
机 记录 的 域名 (如 bookpub. edu. cn) ,在 快捷 菜单 中 单 击 “ 新 建 主 


所 示 的 “新 建 主机 ”对 话 框 。 在“ 名称” 文本 框 中 输入 本 计算 机 
“IP 地 址 ”文本 框 中 输入 本 计算 机 的 IP 地 址 (211. x*. x .44)。 


E 机 ”选项 ,打开 如 图 3-27 


的 主机 名 (server-lin) ,在 
然后 单 击 “ 添 加 主机 ” 按 


钮 ,系统 提示 “成 功 地 创建 了 主机 记录 server-lin. bookpub. edu. cn”( 如 图 3-28 所 示 )。 当 


~、 


用 户 在 浏览 器 中 输入 http://server-lin. bookpub. edu. cn 访问 时 ,该 域名 将 被 解析 到 IP 
地 址 为 211. * . * .44 的 主机 ,用 户 就 可 以 使 用 域名 访问 主机 。 


[server-lin 


厂 外 建 相关 的 指针 FTR) 记 录 C) DNs | 
全 成 功 地 外 建 了 主机 记录 server-in bookpub edu cn 
取消 | 一 


图 3-27 “新 建 主机 ”对 话 框 图 3-28 成功 创建 主机 记录 


通常 访问 网 站 提供 的 Web 服务 时 ,都 是 以 域名 的 方式 访问 的 。 比 如 访问 网 易 的 网 
站 ,需要 在 浏览 器 地 址 栏 中 输入 http://www. 163. com。 那 么 如 何 为 站 点 建立 以 WWW 
开头 的 域名 呢 ? 其 实 使 用 刚才 的 主机 记录 就 可 以 实现 。 

可 以 把 提供 WWW,FTP 等 服务 的 服务 器 的 计算 机 名 设 定 为 www,ftp, 然 后 在 DNS 
服务 器 上 建立 主机 记录 ,用 户 便 可 以 域名 的 方式 访问 对 应 的 WWW ,FTP 服务 器 。 比 如 ， 
Web 站 点 架设 在 计算 机 名 为 www 的 主机 上 ,然后 在 DNS 服务 器 上 增加 该 计算 机 的 主机 
记录 。 之 后 ,可 以 采用 http://www. bookpub. edu. cn 的 域名 来 访问 该 计算 机 的 Web 站 
点 。 如 果 需 要 把 站 点 提供 给 全 球 的 用 户 来 访问 , 则 必须 做 的 工作 是 向 中 国教 育 科 研 网 注 
册 域 名 。 

另外 ,可 能 遇 到 这 样 的 情况 ,如 Windows Server 2003 服务 器 最 初 已 经 建立 了 ,但 计 
算 机 名 不 是 www。 假 设计 算 机 名 是 server-lin, 在 DNS 上 建立 主机 记录 后 ,用 户 可 以 采 
用 http://server-lin. bookpub. edu. cn 的 方式 来 访问 主机 提供 的 Web 服务 ,但 如 果 用 户 
需要 建立 如 http://www. bookpub. edu. cn 这 样 的 域名 , 则 可 以 采用 建立 别名 的 方法 来 
实现 。 

可 首先 在 DNS 上 建立 主机 记录 ,然后 为 该 主机 记录 建立 对 应 的 别名 记录 。 根 据 需 
要 ,别名 记录 可 以 建立 多 个 。 比 如 ,一 台 服 务 器 上 提供 了 多 项 服务 ,并 且 想 以 不 同 的 域名 
来 访问 不 同 的 服务 ,可 以 为 该 服务 器 建立 多 个 别名 记录 (比如 www,wwwl,www2,ftp， 
ftpl,ftp2), 当 用 户 以 不 同 的 域名 访问 时 ,将 在 DNS 的 解析 下 ,把 用 户 全 部 引导 到 一 台 计 
算 机 上 来 访问 不 同 的 服务 。 

2. 添加 别名 记录 

当 一 台 服 务 器 提供 了 多 项 服务 时 ,用 户 需 要 使 用 不 同 的 域名 访问 不 同 的 服务 ,此 时 ， 
可 采用 建立 别名 的 方法 为 主机 建立 多 个 域名 。 
建立 方法 为 : 右 击 欲 添加 别名 记录 的 主机 域名 (如 bookpub. edu. cn) ,在 快捷 菜单 中 
单 击 “ 新 建 别名 ”选项 ,打开 如 图 3-29 所 示 的 “新 建 资源 记录 ”对 话 框 。 在 “别名 ”文本 框 中 
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输入 该 计算 机 的 别名 ,在 “目标 主机 的 完全 合格 的 名 称 ”文本 框 中 通过 浏览 方式 找到 该 计 
算 机 的 主机 记录 (A 记录 ), 单 击 “ 确 定 ” 按 钮 , 即 可 为 主机 建立 别名 记录 。 
Hx 
别名 CRAIE) | 


艾 域 台 ) 
Nookpub. ea en 


别名 品 果 为 空 则 使 用 其 父 域 ) &) 


目标 主机 的 完全 合格 的 名 称 E) 


server-lin. bookpub. edu cn 训 览 @) 


Cue] ws | 


图 3-29 添加 别名 记录 


在 DNS 服务 器 上 建立 了 计算 机 server-lin 的 主机 记录 和 别名 记录 后 ,可 以 使 用 ping 
命令 验证 域名 运行 是 否 正 如 图 3-30 和 图 3-31 所 示 分 别 为 验证 主机 记录 和 别名 记 
录 ,如果 没有 问题 , 即 可 在 浏览 器 中 直接 使 用 该 域名 访问 主机 。 


帅 。 


图 3-30 用 ping 命令 验证 主机 记录 


如 果 测 试 不 通 , 可 检查 TCP/IP 属性 配置 中 ,是 否 已 把 本 机 选 为 域名 服务 器 ,否则 会 
出 现 如 图 3-32 所 示 的 常见 错误 。 

3. 新 建 邮件 交换 器 

在 DNS 主 窗口 的 域名 bookpub. edu. cn 上 单 击 右键 ,从 弹出 的 快捷 菜单 中 单 击 "3 
建 邮件 交换 器 ”选项 (如 图 3-33 所 示 ) .将 打开 如 图 3-34 所 示 的 “邮件 交换 器 "选项 卡 。 

保持 “主机 或 域 * 文 本 框 为 空 , 单 击 “ 浏 览 ” 按 钮 并 选择 充当 邮件 服务 器 的 主机 记录 ,这 
里 选择 server-lin. bookpub. edu. cn, 在 “邮件 服务 器 优先 级 ”文本 框 中 保持 默认 值 10。 单 


“2) 


/68 网 络 管理 与 安全 


32 hyte 


图 3-32 返回 错误 消息 


IC -=IGlz 
| 总 ,控制 台 (C) ”窗口 (Ww) 帮助 (t) 15)xl 


| 如 作 (&) 查看 W || 二 小 | 向 | 加 | 国 台 | 多 


DN5 
日 - 目 sERvER-UN 
9 向 应 商 排 索 区 珊 


加 
国 反 向 所 


其 它 新 记录 (G… 
从 这 里 创建 窗口 (Ww) 


MD) | 2 
向 陡 一 个 新 邮件 。 刷新 全 | 


图 3-33 ”新建 邮件 交换 器 


击 “ 确 定 ” 按 钮 , 即 可 建立 一 个 能 够 转发 格式 如 username@bookpub. edu. cn 的 邮件 交换 
器 。 如 果 在 “主机 或 域 " 中 没有 保持 为 空 而 输入 如 mail 的 名 字 , 则 该 邮件 服务 器 将 转发 如 
username(@mail. bookpub. edu. cn 格式 的 邮件 。 

4. DNS 转发 器 的 设置 

当 一 个 DNS 客户 机 请 求 DNS 域名 查询 时 ,首先 查询 本 地 DNS 记录 与 缓存 ,如 果 没 
有 发 现 相应 的 记录 , 则 请 求 其 他 服务 器 帮助 ,所 以 在 DNS 上 应 该 设置 DNS 转发 器 。 
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新 建 资源 记录 


| 


pr 


图 3-34 “邮件 交换 器 ”选项 卡 


在 服务 器 列表 中 选择 架设 的 DNS 服务 器 后 ,执行 “DNS/ 属 性 ”命令 ,打开 属性 对 话 
框 ,切换 到 “转发 器 "选项 卡 ,选中 “启用 转发 器 " 复 选 框 ,在 “IP 地 址 "文本 框 中 输入 多 个 上 
级 DNS 服务 器 的 IP 地 址 (如 图 3-35 所 示 )。 单 击 “ 确 定 ” 按 钮 , 即 完成 DNS 转发 器 的 
设置 。 


seRvER-LIN 尾 性 


图 3-35 ”转发 器 的 设置 


3.2.5 DNS 服务 器 的 管理 
在 DNS 控制 台 窗 口中 选中 主机 名 SERVER-LIN 并 右 击 ,弹出 如 图 3-36 所 示 的 快捷 
菜单 , 单 击 “所 有 任务 ”选项 ,其 中 提供 了 4 个 命令 对 DNS 服务 器 进行 管理 。 


」 总 , 控制 (CO 窗口 (Ww) 帮 助 (由 |=lelx| 
」 拧 作 (&) 查看 W || + 少 | 句 | 四 | 多 * 罗 因 加 | 
幸 | 


on 自 正 启 搜 索 区 域 
外 国 后 向 棉 雪 区 域 
自转 正 F 新 于 区 域 四 
四 加 反 k 为 所 有 区 域 设置 老化 /清理 6)， 
清理 过 时 资源 记录 (W) 
更 新 服务 器 数据 文件 (U) 
清除 绥 存 (C) 


图 3-36 DNS 服务 器 的 管理 


1. 服务 器 的 启动 
如 果 服 务 器 关闭 了 ,可 以 在 如 图 3-36 所 示 的 快捷 菜单 中 单 击 “ 所 有 任务 ”>“ 启 动 ” 选 


项 ,启动 已 经 关闭 的 DNS 服务 器 。 
2. 服务 器 的 停止 
如 果 要 停止 DNS 服务 器 提供 的 服务 ,可 以 在 如 图 3-36 所 示 的 快捷 菜单 中 单 击 “ 所 有 
任务 ”停止 ?选项 ,停止 DNS 服务 器 的 运行 。 
3. 服务 器 的 暂停 
如 果 要 暂停 DNS 服务 器 提供 的 服务 ,可 以 在 如 图 3-36 所 示 的 快捷 菜单 中 单 击 * 所 有 
任务 ”>“ 和 暂停 ”选项 ,暂停 DNS 服务 器 的 运行 。 
4. 服务 器 的 重启 
服务 器 在 运行 状态 下 ,在 如 图 3-36 所 示 的 快捷 菜单 中 单 击 “ 所 有 任务 ”一 “重新 启动 ” 
选项 ,将 关闭 正在 运行 的 DNS 服务 器 后 重新 启动 。 
对 于 上 面 的 4 种 操作 , Windows Server 2003 在 命令 行 中 同样 提供 了 响应 的 管理 方 
法 ,命令 如 下 : 
。 net start dns: 启动 DNS 服务 器 
。 net stop dns: 停止 DNS 服务 器 
。 net pause dns: 暂停 DNS 服务 器 
。 net continue dns: DNS 服务 器 继续 运行 
5. 为 所 有 区 域 设 置 老化 /清理 
Windows Server 2003 的 DNS 服务 器 支持 老化 和 清除 功能 ,能 清除 和 删除 陈旧 的 资 
源 记 录 (RR)。 随 着 时 间 的 推移 ,陈旧 的 资源 记录 会 不 断 地 在 区 域 数据 中 积累 。 所 谓 的 资 
源 记录 是 指 在 DNS 区 域 中 使 用 的 标准 数据 库 记 录 类 型 ,用 来 关联 DNS 域名 和 给 定 的 网 
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络 资源 类 型 (例如 计算 机 域名 和 IP 地 址 ) 的 相关 数据 。 

通过 动态 更 新 , 当 计算 机 在 网 络 上 启动 时 RR 被 自动 添加 到 区 域 中 。 但 是 ,在 某 些 情 
况 下 , 当 计算 机 离开 网 络 时 ,它们 不 自动 删除 ,而 会 产生 陈旧 的 资源 记录 。 例 如 ,如 果 计 算 
机 在 启动 时 注册 它 自己 的 主机 (A) RR ,然后 不 正确 地 从 网 络 上 断 开 , 则 其 主机 (A) RR 
可 能 不 会 删除 。 如 果 网 络 中 有 移动 式 用 户 和 计算 机 ,该 情况 可 能 经 常 发 生 。 

如 果 不 管理 区 域 数据 中 的 陈旧 RR, 可 能 会 引起 一 些 问 题 。 

Q@ 如 果 在 服务 器 区 域 中 保留 大 量 的 陈旧 RR, 它 们 最 终 将 占据 服务 器 磁盘 空间 并 导 
致 不 必要 的 大 量 区 域 传送 。 

@ 加 载 带 陈旧 RR 区 域 的 DNS 服务 器 ,可 能 会 使 用 过 时 的 信息 来 应 答 客户 机 查询 ， 
这 会 潜在 地 使 客户 机 在 网 络 上 产生 域名 解析 问题 。 

@ DNS 服务 器 上 陈旧 RR 的 积累 可 降低 其 性 能 和 响应 能 力 。 

@ 在 某 些 情况 下 ,区 域 中 陈旧 RR 的 存在 会 使 DNS 域名 不 能 被 另 一 台 计 算 机 或 主 
机 设备 使 用 。 

在 默认 情况 下 ,Windows Server 2003 的 DNS 服务 器 禁用 老化 和 清除 机 制 。 如 果 用 
户 在 没有 完全 了 解 所 有 参数 时 启用 该 机 制 ,服务 器 可 能 被 意外 配置 为 删除 不 应 该 删除 的 
记录 。 如 果 记录 被 意外 删除 ,不 但 用 户 不 能 解析 该 记录 的 查询 ,而 且 任何 用 户 都 可 以 创建 
记录 并 获得 它 的 所 有 权 , 甚 至 是 在 配置 为 安全 动态 更 新 的 区 域 上 。 下 面 简单 地 介绍 相关 
的 设置 。 

在 如 图 3-36 所 示 的 快捷 菜单 中 单 击 “为 所 有 区 域 设 置 老化 /清理 ?选项 ,打开 如 图 3-37 
所 示 的 对 话 框 。 在 该 对 话 框 中 ,如 果 选 中 “清除 陈旧 的 资源 记录 " 复 选 框 ,表示 到 期 后 将 自 
动 清除 老化 数据 。 将 “无 刷新 间隔 ”选项 区 域 的 “无 刷新 间隔 ”文本 框 内 设置 为 7 天 ,表示 
系统 将 认为 超过 7 天 没有 进行 再 次 刷新 的 资源 记录 是 老化 的 数据 。 将 “刷新 间隔 ”选项 区 
域 的 “刷新 闻 隔 ”文本 框 内 设置 为 7 天 ,表示 系统 要 刷新 的 资源 记录 与 刷新 日 期 之 间 至 少 
有 7 天 的 时 间 间 隔 。 

设置 完成 后 单 击 “ 确 定 ” 按 钮 ,打开 如 图 3-38 所 示 的 “服务 器 老化 /清理 确认 ”对 话 框 ， 
单 击 “ 确 定 ” 按 钮 ,使 设置 生效 。 


服务 器 老化 /清理 尾 性 (21x 


服务 器 老化 /清理 确认 x 


与 Acetive Directory 集成 的 新 区 域 的 默认 设置 : 


图 3-37 “服务 器 老化 /清理 属性 "对话 框 图 3-38 “服务 器 老化 /清理 确认 ”对 话 框 


~、 


6. 清理 过 时 资源 记录 

如 果 要 通过 手动 的 方式 清除 老化 的 资源 记录 ,可 以 在 如 图 3-36 所 示 的 快捷 菜单 中 单 
击 “ 清 理 过 时 资源 记录 ”选项 ,将 弹出 如 图 3-39 所 示 的 提示 信息 框 ,询问 “您 确实 想 在 
SERVER-LIN 服务 器 上 清理 过 时 资源 记录 吗 ?”, 单 击 “ 确 定 ” 按 钮 将 完成 清理 操作 。 


本 
人 AN 您 确实 想 在 5ERYER-LIN 服务 器 上 清理 过 时 资源 记录 吗 ? 


CE | 


图 3-39 是 否 清 理 过 时 资源 记录 


7. 更 新 服务 器 数据 文件 

在 如 图 3-36 所 示 的 快捷 菜单 中 单 击 “ 更 新 服务 器 数据 文件 ”选项 ,使 DNS 服务 器 立 
即将 其 内 存 的 改动 内 容 写 到 磁盘 上 ,以 便 在 区 域 文件 中 存储 。 通 常 , 该 动作 只 有 在 计算 机 
关机 或 预定 义 的 更 新 间隔 内 , 才 向 区 域 文件 中 写 入 这 些 改动 的 内 容 。 


8. 清除 缓存 

在 如 图 3-36 所 示 的 快捷 菜单 中 单 击 “ 清 除 缓存 ”选项 ,可 手动 清除 DNS 服务 器 上 超 
过 缓存 生命 周期 的 无 意义 的 数据 。DNS 服务 器 上 的 域名 缓存 加 速 了 DNS 域名 解析 的 性 
能 ,减少 了 网 络 上 相关 的 查询 量 。 但 有 效 的 缓存 数据 也 有 一 个 生命 周期 ,超过 了 生命 周期 
的 缓存 数据 是 没有 意义 的 。 默 认 情 况 下 ,最 小 缓存 的 生命 周期 是 1 小 时 ,对 于 没有 意义 的 
缓存 数据 可 用 该 选项 清除 。 


9. nslookup 命令 说 明 

在 Windows Server 2003 中 包含 nslookup 工具 (位 于 Winnt\System32\ 目 录 下 )。 该 
工具 主要 用 来 执行 对 DNS 域名 的 查询 测试 ,最 终 发 现 和 解决 DNS 服务 器 上 的 配置 问题 。 
该 工具 可 以 用 于 两 种 模式 : 非 交 互 模式 (直接 在 命令 行 输入 完整 的 命令 ,如 nslookup 
www. bookpub. edu. cn) 和 交互 模式 (只 输入 nslookup 并 按 回 车 键 , 不 输入 参数 ) 。 任 何 
一 种 模式 都 可 将 参数 传递 给 nslookup, 但 在 域名 服务 器 出 现 故障 时 更 多 地 使 用 交互 模 
式 。 在 交互 模式 下 ,可 以 在 提示 符 “ 之 ?后 输入 help 或 “?" 来 获得 帮助 信息 。 

如 图 3-40 所 示 为 使 用 *?? 列 举 的 nslookup 支持 的 相关 参数 。 
3.2.6 客户 机 上 DNS 的 设置 

在 Windows Server 2003 中 ,打开 “网 上 邻居 ”的 属性 窗口 ,并 双击 Internet 属性 打 
Internet 属性 设置 对 话 框 。 如 果 IP 地 址 和 域名 获得 方式 是 由 DHCP 服务 器 提供 , 则 单 击 
“自动 获得 IP 地 址 ”和 “自动 获得 DNS 服务 器 地 址 ” 单 选 按 钮 ;否则 需要 在 “使 用 下 面 的 
IP 地 址 ”选项 区 域 手动 输入 本 计算 机 的 IP 地 址 、 掩 码 和 网 关 , 在 “使 用 下 面 的 DNS 服务 
器 地 址 ?选项 区 域 中 输入 已 经 配置 好 的 DNS 服务 器 的 IP 地 址 (如 图 3-41 所 示 )。 当 客户 
端 是 Windows 98、Windows Me 或 Windows XP 等 操作 系统 时 ,设置 方法 类 似 。 
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3.3 WWW 服务 器 的 架设 


在 Windows Server 2003 操作 系统 下 集成 了 IIS(CInternet Information Server) 服务 
可 以 使 用 IIS 建立 Web、FTP 站 点 ,或 开发 基于 组 件 的 程序 。 
进行 实验 的 环境 如 下 : 


澡 作 系统 为 Windows Server 2003 .其 IP 地 址 为 211. * . * .44。 主机 NetBIOS 名 字 
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为 SERVER-LIN ,主机 域名 为 server-lin. bookpub. edu. cn 。 
3.3.1 JUIS 的 安装 及 站 点 的 启用 


1. IIS 的 安装 

建立 站 点 之 前 ,首先 检查 “开始 ”>“ 程 序 ”>“ 管 理工 具 ” 中 是 否 已 经 安装 Internet 服 
务 管理 器 ,如 果 没 有 该 服务 管理 器 则 需要 安装 。 如 需 安装 该 组 件 ,可 打开 “控制 面板 ”, 双 
击 “ 添 加 /删除 程序 ”图 标 ,通过 Windows 组 件 向 导 来 添加 该 组 件 ( 如 图 3-42 所 示 )。 在 
Internet 信息 服务 组 件 中 包含 Internet 服务 管理 器 、World Wide Web 服务 器 文件 传输 
协议 服务 器 .SMTP Service 和 NNTP Service 等 子 组 件 , 用 户 可 以 根据 需要 来 选择 安装 。 


到 
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ee 
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癌 罗 mternet 服务 管理 器 0mD) 


口 国 WP Service 
回国 SHTP Service 
里 Yorld Wide Web 服务 器 


图 3-42 ”Internet 信息 服务 中 包含 的 子 组 件 


IIS 安装 成 功 后 ,通常 会 在 当前 系统 (假设 系统 安装 在 F: 盘 ) 盘 生成 这 样 的 一 
录 ,F:\Inetpub\wwwroot, 这 个 目录 就 是 存放 网 页 的 目录 。 但 通常 从 安全 性 方面 考虑 ,一 
般 不 采用 该 站 点 目录 。 

如 果 IIS 安装 没有 错误 ,在 浏览 器 地 址 栏 中 输入 http://localhost 将 能 够 浏览 系统 预 
设 的 网 页 。 但 由 于 现在 系统 没有 提供 默认 网 页 ,所 以 任何 连接 的 用 户 都 将 打开 * 建 设 中 ” 
页 面 (如 图 3-43 所 示 )。 这 个 不 用 担心 ,只 要 用 Microsoft Frontpage 或 者 Micromedia 
Dreamweaver 建立 一 个 网 页 ,然后 把 该 网 页 的 名 字 命 名 为 default. htm 或 default. asp , 存 
放 到 下 ;\Inetpub\wwwroot 目录 下 即 可 。 把 名 字 取 为 default. htm 或 default. asp 主要 跟 
系统 站 点 的 默认 文档 有 关 , 后 面 会 介绍 这 个 原因 。 


2. 默认 站 点 的 启用 

单 击 “开始 ”一 “程序 ”管理 工具 “Internet 服务 管理 器 ”命令 ,可 以 看 到 系统 已 
经 建立 了 “默认 Web 站 点 ”( 如 图 3-44 所 示 )。 最 简单 的 方法 是 ,在 该 站 点 的 基础 之 上 构 

在 “默认 Web 站 点 ”上 单 击 右键 ,查看 该 站 点 的 属性 。 打 开 “ 主 目录 ”选项 卡 ,“ 本 地 路 
径 ? 表 示 当 前 的 Web 站 点 存放 的 位 置 .所 有 的 Web 站 点 文件 都 可 以 存放 在 这 里 ,但 也 不 
一 定 都 放 在 这 里 ,因为 Windows Server 2003 还 提供 了 另外 两 个 选项 ,允许 把 站 点 内 容 存 
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个 烛 要 查看 的 站 点 当前 设 有 默认 页 。 可 能 正在 对 它 进行 升级 和 配置 拘 作 。 


请 稍 后 再 访问 此 站 点 。 加 果 效 仍然 遇 到 问题 ， 请 与 网 站 的 营 理 员 联系 。 


如 果 您 是 网 站 的 管理 员 ， 并 且 认为 您 是 由 于 错误 才 收 到 此 消息 ， 请 参阅 ITS 
帮助 中 的 “局 用 和 茜 用 动态 内 容 “。 


要 访问 ITS 帮助 


1。 单 击 开始 ， 然 后 单 击 运行 . 

2， 在 打开 文本 框 中 ,键入 inetegr。 将 出 现 IIS 管理 器 . 
3 从 帮助 菜单 ， 单 击 和 助 主题 . 
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图 3-44 “Internet 信息 服务 ”窗口 


放 在 其 他 的 计算 机 上 或 者 把 站 点 重 定 位 到 其 他 的 URL。 


最 后 ,将 站 点 的 首页 改 成 default. htm 或 default. asp ,因为 IIS 中 启用 的 默认 文档 是 
这 两 个 。 当 然 也 可 以 把 站 点 的 首页 命名 为 其 他 的 名 字 , 只 需 修改 IIS 启用 的 默认 文档 为 
建立 的 站 点 首页 的 名 字 , 比 如 可 以 使 用 index. asp,index. htm 或 index. html 等 。 

完成 这 两 个 步骤 ,在 本 地 主机 或 其 他 主机 上 输入 该 服务 器 的 IP 地 址 ,应 该 可 以 浏览 
到 第 一 个 简单 的 站 点 。 至 于 如 何 用 域名 访问 站 点 ,也 比较 简单 。 打 开 DNS 服务 器 ,在 该 
服务 器 上 添加 Web 服务 器 的 IP 地 址 的 域名 解析 就 可 以 了 。 这 部 分 内 容 可 参考 关于 


DNS 架设 方面 的 有 关内 容 。 
3. 虚拟 目录 的 使 用 


随 着 时 间 的 推移 ,最 终 站 点 的 数据 可 能 逐渐 占 满 硬盘 空间 ,但 此 时 还 有 大 量 的 数据 需 
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要 放 到 站 点 上 ,而 硬盘 已 经 达到 极限 ,怎么 办 ? 或 者 由 于 各 种 网 站 数据 的 安全 性 不 同 , 提 
供给 访问 者 的 权限 不 同 , 比 如 对 于 BBS .留言 短 服务 ,访问 者 需要 把 数据 写 人 到 服务 器 上 ， 
此 时 就 需要 设置 该 目录 可 写 人 的 权限 给 访问 者 ;或 者 打算 把 站 点 提供 的 视频 服务 .音频 服 
务 .、 下 载 服务 和 正常 的 消息 服务 放 在 不 同 的 服务 器 上 进行 管理 ; 当 有 这 些 需 求 的 时 候 , 就 
可 以 使 用 虚拟 目录 。 不 用 迁移 原来 服务 器 上 的 数据 ,然后 在 本 地 或 其 他 计算 机 上 建立 虚 
拟 目 录 , 就 可 以 作为 原来 服务 器 的 物理 目录 存放 站 点 的 数据 。 

下 面 讲解 虚拟 目录 的 建立 方法 。 

在 需要 建立 虚拟 目录 的 站 点 上 右 击 , 从 弹出 的 快捷 菜单 中 单 击 * 新 建 >>* 虚 拟 目 录 ” 
选项 (如 图 3-45 所 示 ) ,将 打开 创建 虚拟 目录 向 导 , 该 向 导 将 帮助 在 该 站 点 下 创建 一 个 虚 
拟 目 录 ( 如 图 3-46 所 示 ) 。 
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图 3-45 虚拟 目录 的 建立 


区 全 用 “虚拟 目录 创建 向 


村 向 导 格 帮助 您 在 此 计算 机 上 创建 一 个 新 的 虚拟 目 


单 击 “ 下 一 步 ” 继续 - 


< 上 - 步 B) [下 = 落 太 当 取消 


图 3-46 虚拟 目录 创建 向 导 
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在 如 图 3-47 所 示 的 对 话 框 中 ,输入 虚拟 目录 的 别名 。 注 意 ,该 名 字 要 符合 目录 命名 
的 规则 ,因为 该 目录 将 被 站 点 作为 普通 目录 访问 。 


图 3-47 虚拟 站 点 别名 的 设置 


单 击 * 下 一 步 " 按 钮 ,然后 在 “目录 "文本 框 中 输入 目录 的 实际 位 置 , 可 以 是 在 本 机 的 其 
他 硬盘 或 其 他 的 计算 机 上 。 如 图 3-48 所 示 ,这 里 选择 的 虚拟 目录 位 于 网 络 上 的 主机 Hyl 
上 。 与 在 本 机 不 同 的 是 ,虚拟 目录 在 其 他 计算 机 上 时 需要 授予 其 他 用 户 访问 该 虚拟 目录 
时 所 持 有 的 权限 ,该 账号 权限 的 大 小 将 直接 影响 用 户 在 服务 器 上 的 操作 。 单 击 “ 下 一 步 ” 按 


Yeb 站 点 内 容 目 录 
您 想到 发 布 到 Web 站 点 上 的 内 容 在 哪里 ? 


图 3-48 设 定 虚拟 目录 的 物理 位 置 


输入 完毕 后 , 单 击 * 下 一 步 ? 按 钮 ,在 “访问 权限 对话 框 中 设 定 虚拟 目录 的 访问 权 
限 ( 如 图 3-50 所 示 ) 。 

设置 完毕 后 , 单 击 * 下 一 步 ? 按 钮 即 完成 虚拟 目录 创建 向 导 所 有 的 任务 ,此刻 就 成 功 地 
建立 了 一 个 虚拟 目录 ,站 点 的 资源 可 以 放 在 虚拟 目录 下 使 用 。 当 服务 器 一 旦 被 攻击 或 者 
系统 崩溃 时 ,就 不 用 太 担心 虚拟 目录 中 的 数据 ,因为 它们 不 在 同一 个 硬盘 上 ,甚至 不 在 同 
一 个 计算 机 上 。 
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虚拟 目录 创建 向 导 
用 户 名 和 密码 
指定 一 个 用 户 名 和 密码 ,用 来 阻止 匿名 访问 网 络 资源 。 


图 3-50 设置 虚拟 目录 的 访问 权限 


3.3.2 Web 服务 器 配置 

通过 单 击 “开始 ”一 “程序 ”一 “管理 工具 ”一 “Internet 信息 服务 ”命令 ,打开 “Internet 
信息 服务 ”窗口 。 在 需要 管理 的 站 点 上 单 击 鼠 标 右键 ,从 弹出 的 快捷 菜单 中 单 击 “属性 命 
令 , 打 开 * 属 性 ?对 话 框 , 可 进行 站 点 属性 的 配置 。 管 理 网 站 的 关键 是 配置 Web 服务 器 的 
属性 ,下 面 将 介绍 几 个 比较 常用 的 选项 卡 的 相关 配置 。 

1.“ 主 目录 ”选项 卡 

在 “ 主 目录 ”选项 卡 上 ,可 以 设 定 站 点 文件 的 存放 位 置 以 及 访问 者 对 该 站 点 资源 所 具 
有 的 权限 (如 图 3-51 所 示 ) 。 

(1)“ 连 接 到 此 资源 时 ,内 容 应 该 来 自 于 ?选项 区 域 

设置 存储 站 点 内 容 的 计算 机 。 在 安装 WWW 服务 时 ,系统 创建 \Inetpub\wwwroot 
目录 为 默认 主 目录 。 对 于 存放 站 点 数据 的 主 目录 有 以 下 3 种 情况 可 以 选择 : 

Q@ 本 计算 机 上 的 目录 ; 

@ 另 一 台 计 算 机 上 的 共享 位 置 ; 
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图 3-51 “ 主 目录 ”选项 卡 


@ 重 定向 到 URL。 

上 述 第 一 种 情况 是 经 常 采用 的 一 种 方式 ,就 是 把 站 点 的 数据 存放 在 提供 WWW 服务 
的 计算 机 上 。 为 了 加 强 安全 ,这 个 目录 的 确切 位 置 可 以 修改 ,不 一 定 采用 系统 默认 的 主 
目录 。 

对 于 第 二 种 情况 ,是 指 Web 站 点 数据 可 以 存放 在 其 他 的 计算 机 上 。 比 如 ,站 点 存放 
在 服务 器 serverl 上 ,由 于 病毒 的 攻击 ,serverl 的 文件 不 能 再 操作 ,此 时 ,可 以 把 Web 站 
点 的 所 有 备份 数据 恢复 到 server2 上 ,然后 在 服务 器 serverl 上 设置 一 个 指向 server2 的 
连接 即 可 。 有 这 样 的 情况 ,已 经 把 所 有 Web 站 点 的 数据 都 存放 在 服务 器 serverl 上 ,但 后 
来 启用 服务 器 serverl 的 IIS 服务 时 , 却 发 现 无 论 如 何 都 无 法 启动 ,而 此 时 ,站 点 上 很 多 的 
消息 需要 马上 公布 ,如 果 把 数据 再 重新 复制 到 server2 上 ,需要 大 量 的 时 间 ,这样 将 影响 
消息 的 公布 。 此 时 , 便 可 采用 IIS 的 这 个 功能 。 只 需 启 用 server2 的 IIS 服务 ,然后 把 站 点 
数据 的 存放 位 置 指向 serverl 即 可 。 同 时 ,不 要 忘记 在 域名 服务 器 上 修改 相关 的 记录 , 否 
则 用 户 输入 域名 时 ,将 不 能 正常 定位 。 

IIS 提供 的 第 三 种 情况 ,就 是 直接 重 定位 到 另 一 个 URL。 这 里 需要 输入 提供 Web 站 
点 内 容 的 另外 一 台 主 机 的 URL 名 字 或 IP 地 址 。 

(2) 设置 用 户 的 访问 权限 

“脚本 资源 访问 ”: 如 果 人 允许 用 户 访问 已 经 设置 为 读 取 或 写 和 人 权限 的 资源 代码 ,可 选 
中 该 项 。 资 源 代码 包括 ASP 应 用 程序 中 的 脚本 。 

“ 读 取 ”: 允许 用 户 读 取 或 下 载 文 件 (目录 ) 及 其 相关 属性 。 

“ 写 人 ”: 允许 用 户 将 文件 及 其 相关 属性 上 传 到 服务 器 上 已 启用 的 目录 中 ,或 者 更 改 
可 写 文 件 的 内 容 。 
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“目录 浏览 ”: 允许 用 户 查 看 该 虚拟 目录 中 文件 和 子 目 录 的 超 文本 列表 ,虚拟 目录 不 
会 显示 在 目录 列表 中 ,用户 必须 知道 虚拟 目录 的 别名 。 

“日 志 访 问 ”: 在 日 志文 件 中 记录 对 该 目录 的 访问 。 

“索引 此 资源 ”: 允许 Microsoft Indexing Service 将 该 目录 包含 在 Web 站 点 的 全 文 
本 索引 中 。 此 后 ,用 户 可 以 在 Web 站 点 中 快速 搜索 单词 和 短语 。 

注意 : 如 果 Web 站 点 是 由 ASP 技术 建立 的 ,在 “应 用 程序 保护 ”下 拉 列 表 框 中 必须 
选择 “低级 "选项, 这样 客户 机 才 可 以 正常 浏览 站 点 。 

(3) 应 用 程序 设置 

“应 用 程序 名 ”: 将 目录 指定 为 应 用 程序 的 起 点 。 

“执行 许可 ”: 纯 脚 本 (只 允许 运行 脚本 ,如 ASP 脚本 ) 或 无 (只 允许 访问 静态 文件 ,如 
HTML 或 图 像 文件 )。 

“应 用 程序 保护 ”: 在 独立 的 窗口 内 运行 。 选 择 相应 的 选项 将 使 应 用 程序 独立 于 Web 
服务 器 进程 单独 运行 ,运行 独立 的 应 用 程序 可 以 在 应 用 程序 出 现 错误 时 ,使 其 他 的 应 用 程 
序 ( 包 括 Web 服务 器 ) 免 受 影响 。 可 以 设置 为 与 Web 服务 在 同一 进程 中 运行 ( 低 ) .与 其 
他 应 用 程序 在 独立 的 共用 进程 中 运行 (中 ) 或 者 在 与 其 他 进程 不 同 的 独立 进程 中 运 
行 (高 )。 


2.“Web 站 点 ”选项 卡 
切换 到 如 图 3-52 所 示 的 “Web 站 点 ”选项 卡 。 


图 3-52 “Web 站 点 ”选项 卡 


在 "Web 站 点 标识 ”选项 区 域 中 ,“ 说 明 ” 文 本 框 中 一 般 输入 关于 本 站 点 的 一 些 说 明 性 
的 文字 ,可 随便 输入 。 在 “IP 地 址 ”下 拉 列 表 框 中 选择 当前 站 点 所 采用 的 IP 地 址 。 
在 “TCP 端口 "文本 框 中 采用 默认 值 80 即 可 。 如 果 修 改 此 数字 , 则 访问 者 在 输入 网 
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址 时 ,需要 在 最 后 加 上 端口 号 。 因 为 80 端口 是 系统 提供 WWW 服务 的 默认 端口 ,所 以 在 
输入 网 址 时 可 以 省 略 这 个 数字 。 比 如 访问 广州 航海 高 等 专科 学 校 的 网 站 ,只 需要 输入 
http://www. gzhmt. edu. cn, 后 面 的 端口 号 80 可 以 省 略 , 也 可 以 采用 http://www. 
gzhmt. edu. cn: 80 这 种 方式 对 广州 航海 高 等 专科 学 校 的 网 站 进行 访问 。 对 于 Web 站 点 
在 80 端口 提供 服务 ,在 输入 网 址 时 可 以 采用 上 面 的 两 种 方式 ,但 是 如 果 Web 站 点 提供 的 
Web 服务 不 在 80 端口 ,比如 当前 的 Web 站 点 提供 的 服务 在 8051 端口 ,那么 访问 该 站 点 
时 ,必须 采用 http:// 域 名 : 8051 的 方式 访问 。 所 以 ,如 果 站 点 是 面向 公众 服务 的 ,就 不 
要 修改 80 端口 。 

对 于 活动 日 志 格 式 , 也 就 是 用 户 访问 站 点 的 日 志 以 何 种 方式 存放 ,可 根据 自己 的 需要 
设置 ,以 方便 对 日 志 的 分 析 和 跟踪 。 当 网 站 为 公众 提供 服务 时 ,可 能 受到 各 种 各 样 的 攻 
击 , 尽 管 有 时 不 可 能 去 抓 住人 侵 者 .但 可 以 从 日 志 中 知道 入 侵 者 采用 何 种 方式 攻击 站 点 ， 
架设 的 站 点 存在 什么 漏洞 ,方便 日 后 弥补 站 点 的 漏洞 ,提高 站 点 的 安全 性 。 这 里 需要 说 明 
的 是 ,W3C 扩充 日 志 的 记录 时 间 和 计算 机 的 时 钟 时 间 相差 8 个 小 时 ,查看 日 志 时 ,需要 注 

选择 某 一 种 日 志 记 录 格 式 后 , 单 击 右 侧 的 “属性 ”按钮 ,可 以 对 当前 日 志 的 记录 方式 进 
行 设置 。 比 如 选择 “W3C 扩充 日 志文 件 格式 ”, 然 后 通过 其 “常规 属性 ”选项 卡 ( 如 图 3-53 
所 示 ) ,可 以 设置 新 日 志 的 时 间 间 隔 ,以 及 日 志文 件 的 存放 位 置 ; 在 “扩充 的 属性 ”选项 卡 
中 (如 图 3-54 所 示 ) ,可 以 设置 日 志 记 录 的 字段 ,比如 客户 访问 时 间 、 客 户 IP 地 址 等 ,这 些 
一 般 根据 自己 的 需要 选择 ,或 者 参考 日 志 分 析 软 件 的 需要 选择 。 


扩充 日 志 记录 尾 性 四 


厂 为 文件 命名 回 卷 使 用 本 地 时 间 (I) 
日 志文 件 目录 人: 
impirwsystemsazvLespiles 浏览 | 


日 志文 件 名 :WW3SYC1\exyymmdd log 


CC ] | Rw |_| 


图 3-53 “常规 属性 ”选项 卡 


“限制 到 ”用 于 设置 该 站 点 最 多 允许 多 少 个 用 户 并 发 连接 。 该 选项 可 以 根据 自己 网 站 
的 访问 量 以 及 服务 器 的 性 能 来 定 。 

“连接 超时 ”用 于 设置 用 户 连 接 到 本 站 点 之 后 ,在 多 少时 间 内 没有 任何 操作 , 则 系统 将 
中 断 与 该 用 户 的 连接 ,以 节省 系统 资源 。 


~ 
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扩充 日 志 记 录 尾 性 


失信 
|- 回 客户 理 地 址 (ec-ip ) 
一 回 用 户 名 ( cs-usernane ) 


务 各 【〔 s-sitenane ) 


一 加 MT 资源 (es-uri-sten ) 
mi fr 


图 3-54 “扩充 的 属性 ”选项 卡 


3.“ 文 档 ” 选 项 卡 
如 图 3-55 所 示 是 Web 站 点 的 “文档 ”选项 卡 。 


图 3-55 “文档 ”选项 卡 


在 “启用 默认 文档 ”选项 区 域 中 可 以 选择 是 否 启 用 默认 文档 ,如 果 启 用 , 则 在 浏览 器 中 
请 求 不 包括 具体 的 HTML 文件 名 时 ,向 用 户 显 示 默 认 文 档 。 默 认 文 档 一 般 是 主 目录 中 
的 一 个 页 面 文件 ,也 可 以 用 逗号 分 隔 列表 的 形式 指定 多 个 默认 文档 , Web 服务 器 按照 列 
表 名 称 的 顺序 在 目录 中 搜索 默认 文档 ,返回 发 现 的 第 一 个 文档 。 例 如 ,设置 默认 Web 站 
点 的 主 目录 为 F:\InetPub\wwwroot, 启 用 的 默认 文档 的 文件 名 为 default. asp ,服务器 的 
主机 名 为 server-lin ,在 浏览 器 中 输入 的 URL 为 http://server-lin, 那 么 此 时 用 户 浏览 到 
的 是 default. asp 页 面 ,相当 于 输入 的 URL 为 http://server-lin/defaulst. asp。 这 就 是 前 
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面 讲 过 的 为 什么 把 站 点 的 首页 命名 为 default. htm 或 default. asp 的 原因 。 

4.“ 操 作 员 ?选项 卡 

在 如 图 3-56 所 示 的 “操作 员 ” 选 项 卡 中 ,可 以 设 定 能 够 管理 当前 Web 站 点 的 其 他 操 
作 员 。 管 理 该 站 点 的 默认 操作 员 是 Administrators 组 成 员 ,该 操作 员 不 能 被 删除 ,具有 全 
部 的 权限 。 其 他 操作 员 具 有 的 权限 与 服务 器 管理 员 Administrators 组 成 员 有 所 区 别 , 比 
如 不 能 设置 匿名 访问 用 户 名 及 密码 建立 虚拟 目录 等 。 


le 
目录 安全 性 ”| irTP 头 ”| 。 自 定义 错误 信息 。 | | 
Web 站 点 操作 员 | 性 能 | 
Web 站 点 操作 员 


授予 以 下 Windows 用 户 帐号 在 此 Web 站 点 的 操作 员 特 可。 


操作 员 @); 


图 3-56 “操作 员 ” 选 项 卡 


Web 站 点 操作 员 是 一 组 在 单独 Web 站 点 上 具有 有 限 管理 特权 的 特殊 用 户 。 操 作 员 
可 以 管理 只 影响 其 各 自 站 点 的 属性 ,他 们 无 权 访问 影响 IIS、 维护 IIS 的 Windows 服务 器 
计算 机 或 网 络 的 属性 。 

例如 ,托管 大 量 不 同 公司 站 点 的 ISP 可 以 将 每 个 公司 的 代表 指派 为 每 个 单独 公司 
Web 站 点 的 操作 员 。 这 种 分 布 式 服务 器 管理 方法 具有 以 下 优点 : 

@D 每 个 操作 员 可 以 作为 站 点 管理 员 并 根据 需要 更 改 或 重新 配置 Web 站 点 。 例 如 ， 
操作 员 可 以 设置 Web 站 点 的 访问 权限 .启用 记录 、 更 改 默认 文档 或 页 脚 .设置 内 容 截 止 日 
期 和 启用 内 容 分 级 特性 。 

@ 不 允许 Web 站 点 操作 员 更 改 Web 站 点 的 标识 .配置 匿名 用 户 名 或 密码 .限制 带 
宽 、 创 建 虚 拟 目 录 或 更 改 其 路 径 、 更 改 应 用 程序 隔离 。 

@ 由 于 操作 员 较 Web 站 点 管理 员 具 有 更 多 受 限 制 的 特权 , 故 他 们 无 法 远程 浏览 文 
件 系统 ,因此 也 就 不 能 设置 目录 和 文件 中 的 属性 ,除非 使 用 通用 命名 约定 (Universal 
Naming Convention ) 。 

5.“ 目 录 安全 性 "选项 卡 

如 图 3-57 所 示 是 Web 站 点 的 “目录 安全 性 ”选项 卡 。 该 选项 卡 中 包含 有 关 Web 服 


x 


务 器 的 安全 性 方面 的 一 些 设置 ,包括 配置 Web 服务 器 的 验证 和 匿名 访问 功能 ,以 便 在 允 
许 对 受 限 制 的 内 容 进 行 访问 前 确认 用 户 的 身份 ;创建 SSL 密 钥 ;限制 IP 地 址 和 域名 ,以 
允许 或 防止 某 些 用 户 、 计 算 机 或 域 访 问 该 Web 站 点 、 目 录 或 文件 。 


EE 
Web 站 点 | 操作 员 | 性 能 ”| IshPI 第 选 器 | 主 目录 | 文档 
目录 安全 性 | TTP 头 ”| 。 自 定义 错误 信息 。 | 。 服务 器 扩展 


「 匿 名 访问 和 验证 控制 


to ee em | 


「 理 地 址 及 域名 限制 
解 IP 的 人 
局 编辑 呈 | 
三 安全 通信 
,xanax [EEC 
5 六 员 


加 查看 让 和 | 
编辑 加 ) | 


确定 取消 | pw | 帮助 | 
图 3-57 “目录 安全 性 ?选项 卡 


另外 ,还 有 “性 能 ”选项 卡 , 主 要 用 于 指定 Web 站 点 占用 服务 器 的 最 大 带宽 以 及 并 发 
进程 限制 ;*ISAPI 筛选 器 ?选项 卡 ,用 于 设置 ISAPI 筛选 程序 的 选项 ,ISAPI 筛选 程序 是 
在 处 理 HTTP 请 求 过 程 中 对 事件 作出 响应 的 程序 “HTTP 头 ” 选 项 卡 , 用 于 设置 在 
HTML 页 的 标题 中 返回 给 浏览 器 的 值 ;* 自 定义 错误 信息 ”选项 卡 ,用 于 定义 当 错 误 发 生 
时 返回 给 浏览 器 的 信息 。 

3.3.3 ”Web 站 点 的 管理 


1. 站 点 工作 状态 管理 

站 点 运行 后 ,作为 网 站 管理 员 ,可 以 定期 对 站 点 进行 维护 或 更 新 网 站 数据 ,必要 时 可 
以 暂停 或 停止 站 点 的 运行 ,等 到 任务 完成 后 ,再 重新 启动 该 站 点 。 在 相应 的 站 点 上 单 击 鼠 
标 右 键 ,在 弹出 的 快捷 菜单 或 者 “Internet 信息 服务 窗口 的 工具 栏 中 ,都 提供 了 相应 的 管 
理 命令 (如 图 3-58 所 示 )。 

如 果 站 点 处 于 暂停 服务 的 状态 ,用户 连接 到 该 站 点 ,将 收 到 如 图 3-59 所 示 的 信息 。 

如 果 用 户 连 接 到 停止 服务 的 站 点 ,将 收 到 如 图 3-60 所 示 的 信息 。 

2. 站 点 备份 

网 站 管理 员 的 主要 职责 之 一 就 是 保证 站 点 的 正常 运作 ,比如 经 常 检查 Web 站 点 的 运 
行情 况 、 查 看 近期 的 日 志 、 查 看 服务 器 上 启动 的 进程 以 及 开放 的 端口 等 。 而 对 于 网 站 数据 
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Fi\Program Files\Common Fles\Microsoft Shared\Web Se... 
FilProgram FlesiPhone Book Service\Bin 

Fi\program FlestPhone Book Service\Data 
FIWWINNTI5ystem32zWRpcProxy 

FiAWINNTYweblprinters 


二 Error - Microsoft Internet Explorer 


图 3-60 访问 站 点 处 于 停止 服务 状态 的 错误 信息 
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的 备份 是 必须 经 常 做 的 任务 ,如果 不 想 看 到 网 站 大 量 宝 贵 的 数据 被 攻击 而 毁 于 一 旦 ,就 应 
该 认真 地 .周期 性 地 备份 网 站 数据 。 通 常 ,可 以 采用 备份 服务 器 .磁盘 塔 、 磁 带 机 或 刻录 光 
盘 的 方法 ,IIS 也 提供 了 一 个 备份 数据 的 便捷 方法 。 

IIS 6. 0 能 对 整个 计算 机 上 的 Internet 服务 (包括 WWW ,FTP,SMTP,NNTP 等 ) 所 
设置 的 数据 进行 备份 与 还 原 。 要 使 用 该 功能 ,可 以 在 “Internet 信息 服务 ”窗口 中 右 击 主 
机 名 ,在 弹出 的 快捷 菜单 中 选择 “备份 /还 原配 置 ”( 如 图 3-61 所 示 ) 命 令 。 


这 


图 3-61 站 点 的 备份 与 还 原 


3. 建立 多 个 站 点 的 策略 

在 一 台 计 算 机 上 建立 多 个 站 点 ,通常 可 以 采用 下 面 的 方法 。 

QO@ 多 个 IP 地址 : 在 Windows Server 2003 中 ,一 块 网 卡 可 以 绑 定 多 个 固定 的 IP 地 
址 ,可 在 不 同 的 IP 地址 上 建立 不 同 的 站 点 。 

@ 一 个 IP 和 多 个 端口 : 对 于 IP 地 址 比较 少 或 其 他 情况 ,在 同一 个 IP 地址 上 也 可 以 
启用 多 个 站 点 ,这 时 需要 注意 的 是 不 同 的 站 点 需要 启用 不 同 的 TCP 端口 。 比 如 默认 站 点 
占用 了 默认 端口 80 ,那么 第 二 个 站 点 就 需要 选用 其 他 的 端口 ,选用 其 他 端口 时 只 要 和 系 
统 其 他 的 应 用 不 冲突 即 可 。 


4. 管理 站 点 的 其 他 方法 

(1) 通过 Internet 服务 管理 器 进行 本 地 管理 

前 面 有 关 的 Web 站 点 配置 策略 均 是 在 Internet 服务 管理 器 中 完成 的 。 

(2) 通过 浏览 器 进行 远程 管理 

通过 其 他 连 入 网 络 的 计算 机 ,可 以 对 站 点 进行 远程 管理 。 打 开 浏 览 器 ,在 地 址 栏 中 输入 
http://211. x .x*.44:4153, 并 在 弹出 的 对 话 框 中 输入 远程 管理 用 户 的 密码 (如 图 3-62 所 
示 ) ,然后 单 击 “ 确 定 ” 按 钮 。 

通过 浏览 器 进行 远程 管理 的 主 界 面 如 图 3-63 所 示 。 通 过 远程 管理 ,基本 可 以 完成 本 
地 Internet 服务 管理 器 中 的 所 有 功能 。 
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」 证 RE 二 因 四 人 辣 | 罗 抽 四 k 语 台所 | 国 - 马 图 - 
| 二 二 | 全 htpiizl 44:4153 了 ] 他 转 到 | | 链接 ” 


Rs 3 


2 请 键入 用 户 名 和 密码 。 
站 点 : 211. 44 
用 PS [eininistrator 
3 | 
域 @) | 


厂 将 密码 存 入 密码 表 中 G) 


Cm |] _ we | 


| 天 正在 打开 二 页 htpjj211，。 | 而 


图 3-62 远程 管理 身份 验证 


| 文件 (E) ”编辑 (E) ”查看 (W) 收 诚 (a) 工具 (D 帮助 (H) 
EE EE 


移 IIShanin 

各 IISSanples 

物 Ec 

由 { 电 -tibin 

8 PhServer 

{8 BESData 
Rpe 


图 3-63 远程 管理 主 窗口 


3.4 FTP 服务 器 的 架设 


FTP(File Transfer Protocol, 文 件 传输 协议 ) 是 在 TCP/IP 网 络 和 Internet 上 最 早 使 
用 的 协议 之 一 。 尽 管 World Wide Web(WWW) 已 经 替代 了 FTP 的 大 多 数 功能 ,但 FTP 
仍然 是 通过 Internet 把 文件 从 客户 机 复制 到 服务 器 上 的 一 种 途径 。FTP 的 主要 作用 是 
让 用 户 连 接 到 一 个 远程 计算 机 (这 些 计算 机 上 运行 着 FTP 服务 器 程序 ) 查 看 远程 计算 机 
上 有 哪些 文件 ,然后 把 文件 从 远程 计算 机 上 下 载 到 本 地 计算 机 ,或 把 本 地 计算 机 的 文件 上 
传 到 远程 计算 机 上 。 一般 FTP 站 点 可 以 通过 账户 登录 和 匿名 用 户 两 种 方式 为 用 户 提 供 


~、 


服务 。 
3.4.1 FTP 站 点 的 安装 和 启用 

在 Windows Server 2003 中 的 IIS 服务 中 ,已 经 包含 了 FTP 组件, 可 以 方便 地 建立 
FTP 站 点 。 

FTP 服务 器 包含 在 IIS 中 。 在 配置 该 服务 器 之 前 ,可 打开 Internt 服务 管理 器 查看 计 
算 机 上 的 FTP 服务 器 是 否 安装 ,否则 可 以 通过 单 击 “ 控 制 面板 ”>“ 添 加 /删除 程序 "命令 
进行 安装 ,FTP 是 Internet 信息 服务 IIS 的 一 个 子 组 件 ( 如 图 3-64 所 示 ) 。 


Internet 信息 服务 (IIS) | 


Se 


Internet 信息 服务 IIS) 的 子 组 件 C); 
图 strz Service 

口 县 visual InterDev RAD 远程 配置 支持 
三 World Wide Web 服务 器 


舍 公 用 文件 


» FTP C 
搬入 内 充 CD ， 化 洗 建 立 FT 站 点 (用 于 上 名和 吉文 
所 需 磁 盘 空间 : 2.8 吧 | 
可 用 磁盘 裤 间 : 2677.8 旧 - 


省 | 
图 3-64 安装 FTP 服务 器 


安装 完成 后 , 单 击 “开始 ”一 “程序 ”一 “管理 工具 ”一 “Internet 信息 服务 ”命令 ,在 
Internet 信息 服务 窗口 中 可 以 看 到 "默认 FTP 站 点 目录。 默认 情况 下 该 FTP 服务 器 已 
经 正常 运行 (如 图 3-65 所 示 ) ,通过 快捷 方式 或 工具 栏 可 以 对 该 站 点 进行 重启 、 停 止 . 暂 停 
等 操作 。 


Cintermct 信息 上 和 
EXEOITEETISIESTIETS 


Fi\Program Fies\Phone Bt 
日 -时 *server-in 
[i 人 FTP 站 点 


由 杖 默认 Web 站 点 


三 管理 Web 站 点 
由 -六 默认 5MTP 虚拟 服务 器 
由 起 默认 NNTP 虚拟 服务 器 


图 3-65 默认 的 FTP 站 点 


下 面 讲解 如 何 架设 一 个 FTP 服务 器 。 
默认 情况 下 ,IIS 中 已 经 启动 了 一 个 FTP 站 点 。 该 站 点 上 所 有 的 文件 都 存放 在 F:\ 
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inetpub\ftproot(F 代表 系统 安装 的 盘 符 ), 所 有 提供 给 用 户 下 载 的 文件 均 放 在 此 处 。 此 
时 ,可 以 在 DOS 字符 界面 或 IE 浏览 器 中 访问 。 如 图 3-66 所 示 是 在 DOS 下 进行 访问 
FTP 站 点 的 界面 


图 3-66 在 DOS 字 符 界面 下 访问 FTP 站 点 


如 图 3-67 所 示 是 在 IE 浏览 器 中 访问 FTP 站 点 。 


二 
文件 (E) 网 加 (查看 0 收 茧 (@) 工具 (D 和 Bt 
和 后 盟 ， 二- 回 | 局 入 来 芒 文 人 天 邓 砍 | 入 吕 X 当 | 国 - 


她 址 (D) [全] Rp:/j211 44/ 可 CR 和 | | 馆 岳 ” 
去 一 - ~ ~ 
全 前 Er | 国 
过 四 
4 
服务 器 ; 211 4 


用 户 和 名; Anenymous 


了 解 其 他 关于 训 览 FTP 
站 点 的 信息 。 


这 成 用 户 : 基 名 国 Imemne 


图 3-67 通过 浏览 器 访问 FTP 站 点 


登录 到 FTP 站 点 后 ,如 果 用 户 具备 相应 的 权限 ,就 可 以 从 站 点 上 下 载 自己 需要 的 东 
西 ,甚至 可 以 在 遵从 站 点 的 要 求 下 把 有 用 的 东西 上 传 到 FTP 站 点 上 去 ,提供 给 更 多 的 用 
户 分 享 。 也 可 以 建立 其 他 的 FTP 站 点 ,此 时 需要 在 网 卡 上 绑 定 多 个 IP 地 址 。 
3.4.2 FTP 站 点 的 配置 

下 面 以 默认 站 点 为 例 讲 解 有 关 FTP 服务 的 常见 配置 方法 。 

在 默认 站 点 上 单 击 鼠 标 右键 ,从 弹出 的 快捷 菜单 中 单 击 “ 属 性 ”命令 ,打开 “默认 FTP 
站 点 属性 ”设置 对 话 框 ,选择 “FTP 站 点 ”选项 卡 , 如 图 3-68 所 示 。 在 该 选项 卡 中 ,“ 标 识 ” 
选项 区 域 中 的 “说 明 ” 文 本 框 中 是 对 当前 站 点 的 命名 ,以 方便 识别 站 点 。“IP 地 址 ?下 拉 列 
表 框 中 是 当前 站 点 所 使 用 的 IP 地 址 。“TCP 端口 "文本 框 中 一 般 选 择 21 ,因为 FTP 服务 
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默认 采用 21 端口 提供 服务 ,如 果 开设 在 其 他 端口 , 则 用 户 在 登录 FTP 站 点 时 需 像 使 用 
WWW 服务 一 样 输入 端口 号 。 如 果 没 有 输入 端口 号 , 则 返回 “连接 被 拒绝 ”的 信息 。 所 
以 ,此 时 无 论 在 字符 界面 还 是 在 IE 浏览 器 中 登录 FTP 站 点 ,都 需要 输入 端口 号 ,比如 在 
浏览 器 中 登录 需 在 浏览 器 地 址 栏 中 输入 http://211. * . * .44: 端口 号 。 


本 到 
FIP 站 点 | 安全 帐号 | 消息 | 主 目录 | 目录 安全 性 | 


[STREEEEEEECIC 这 接 
连 摘 直 时 CD 厂 一 一 一 507 办 
广 局 用 日志 记录 加 一 一 一 一 一 一 一 一 


活动 日 志 格 式 WD) ; 
3c 扩充 日 志文 件 格式 了 ] 属性 四) 


当前 会 话 包 ) 


职 消 ”| 应 用 多 导 助 


图 3-68 “FTP 站 点 ”选项 卡 


“连接 ”选项 区 域 中 的 “限制 到 ”选项 指 的 是 并 发 连接 数 , 主 要 依据 服务 器 的 带宽 ,性 能 
以 及 用 户 人 数 的 多 少 选择 。“ 连 接 超 时 ?选项 用 于 限定 用 户 在 该 时 间 段 内 如 果 没 有 做 任何 
操作 ,服务 器 将 断 开 此 连接 ,以 收回 服务 器 资源 。 

“启用 日 志 记录 ”选项 用 于 记录 用 户 在 FTP 站 点 的 活动 细节 ,比如 用 户 IP、 用 户 名 、 


发 送 字 节 数 、 接 收 字 节 数 等 信息 。 这 里 有 三 种 日 志 格 式 供 选 择 , 单 击 “ 属 性 ”按钮 可 以 打 
“扩展 日 志 记录 属性 ?对 话 框 , 设 定 日 志 存 放 位 置 、 建 立新 日 志 的 时 间 间 隔 以 及 日 志 记 录 中 
需要 记录 的 字段 。 这 部 分 内 容 与 WWW 服务 相同 ,不 再 详细 叙述 。 


DOES > 


单 击 “ 当 前 会 话 ” 按 钮 ,打开 如 图 3-69 所 示 
的 "FTP 用 户 会 话 ” 对 话 框 ,可 以 查看 正在 连接 
的 FTP 站 点 的 用 户 .该 用 户 以 何 种 方式 登录 ( 匿 
名 或 账户 ) .该 用 户 所 用 计算 机 的 IP 地 址 以 及 在 
此 停留 的 时 间 。 同 时 ,如 果 不 喜 欢 哪个 用 户 在 此 。 二 用户 本 连接 中 
停留 ,还 可 以 单 击 “ 断 开 ” 按 钮 强迫 其 离开 。 | S| 

如 图 3-70 所 示 是 FTP 站 点 的 “安全 账号 ” ”图 369 “FTP 用 户 会 话 ?消息 对 话 框 
选项 卡 。 在 该 选项 卡 中 可 以 设 定 是 否 人 允许 匿名 
连接 ,以 及 匿名 用 户 登 录 使 用 的 Windows 用 户 账 号 ,同时 还 可 以 设 定 是 否 仅 允许 匿名 连 
接 以 及 是 否 允 许 JS 控制 密码 。 在 “FTP 站 点 操作 员 ” 选 项 区 域 中 ,管理 员 可 授权 某 些 用 
户 管理 该 FTP 站 点 。 

在 如 图 3-71 所 示 的 “消息 ”选项 卡 中 ,“ 欢 迎 ” 文 本 框 中 的 信息 将 在 登录 该 FTP 站 点 
时 显示 ,“ 退 出 ”文本 框 中 的 信息 将 在 用 户 离开 该 FTP 站 点 时 显示 ,“ 最 大 连接 数 " 文 本 框 
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肚 认 FTP 站 点 尾 性 


[ER Administrators 


| 


3-70 “安全 账号 ”选项 卡 


图 3-71 “消息 ”选项 卡 


中 的 信息 是 在 FTP 站 点 人 数 已 达到 最 多 时 用 户 登录 时 会 看 到 的 提示 信息 。 如 图 3-72 和 
3-73 所 示 的 是 采用 从 DOS 字符 界面 和 浏览 器 两 种 方式 登录 到 FTP 站 点 ,查看 在 设置 
了 ”消息 ”选项 卡 后 FTP 站 点 界面 的 变化 。 

如 图 3-74 所 示 是 FTP 站 点 的 “ 主 目录 ?选项 卡 。 在 “FTP 站 点 目录 ?选项 区 域 中 可 以 
设 定 站 点 文件 的 存放 位 置 ,默认 存放 在 f:\inetpub\ftproot。 该 位 置 可 以 设置 为 该 计算 机 
上 的 任 一 目录 ,或 者 是 另 一 计算 机 上 的 共享 目录 。 

另外 ,可 以 设置 登录 到 站 点 的 用 户 的 权限 。 

“ 读 取 ”: 当 此 项 有 效 时 ,可 以 让 用 户 读 取 或 下 载 此 站 点 下 的 文件 或 目录 。 如 果 关 闭 
站 点 的 * 读 取 ” 属 性 , 则 用 户 因 为 不 能 读 取 站 点 的 根 目录 将 导致 无 法 登录 该 站 点 。 
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“ 写 人 ”: 当 此 项 有 效 时 ,允许 用 户 将 文件 上 传 到 FTP 站 点 的 根 目录 中 。 

“日 志 访 问 ”: 如 果 FTP 站 点 已 经 启用 了 日 志 记 录 功 能 (在 “FTP 站 点 ”选项 卡 中 ), 又 
使 此 项 有 效 , 则 用 户 访问 此 站 点 文件 的 活动 会 被 记录 到 日 志文 件 中 。 详 细 的 日 志 记 录 可 
以 在 F:\WINNT\system32\LogFiles\MSFTPSVC1 目录 下 查看 。 

“目录 列表 风格 ?选项 区 域 中 的 设置 对 于 通过 IE 或 Netscape 登录 到 该 站 点 的 用 户 没 
有 区 别 ,对 于 通过 DOS 字符 界面 登录 的 用 户 将 有 所 不 同 。 当 把 “目录 列表 风格 "设置 为 
UNIX 风格 时 ,从 字符 界面 DOS 下 登录 到 FTP 站 点 上 查看 站 点 目录 ,可 以 看 到 目录 列表 
格式 与 在 UNIX 系统 下 列举 文件 目录 格式 相同 (如 图 3-75 所 示 )。 


WINNT\System32\cmd.exe 


图 3-75 FTP 站 点 的 UNIX 目录 列表 风格 


如 图 3-76 所 示 是 站 


的 “目录 安全 性 ”选项 卡 , 可 授权 来 自 某 些 IP 地 址 的 用 户 能 否 


访问 该 FTP 站 点 ,以 提高 站 点 的 安全 性 
EE] 
FTP 站 点 | 安全 帐号 | 消息 | 主 目录 “目录 安全 性 | 
TCP/IP 访问 限制 
| 默认 情况 下 ， 所 有 计算 机 将 被 。 G7 慑 入 访 柯 区) 
| 例外 。 以 下 所 列 除 外 CL 
ET 
EE 二 二 


取消 后 用 区 者 助 


图 3-76 “目录 安全 性 ?选项 卡 


93) 


3.4.3 FTP 站 点 的 管理 

与 Web 站 点 的 管理 方式 相同 ,对 于 FTP 站 点 一 般 可 以 通过 三 种 方式 管理 : Internet 
服务 管理 器 本 地 管理 ,Internet 服务 管理 器 远程 管理 和 通过 浏览 器 远程 管理 。 

通过 Internet 服务 管理 器 (MMC) 在 本 地 管理 的 方法 ,前 面 利 用 FTP 站 点 的 属性 对 
话 框 已 经 讲解 过 ,不 再 叙述 。 

另外 ,通过 Internet 服务 管理 器 (MMC) 可 以 远程 管理 其 他 计算 机 上 的 站 点 。 首 先 要 
与 被 管理 的 计算 机 建立 连接 。 在 “Internet 信息 服务 ”" 窗 
口中 ,在 Internet 信息 服务 或 计算 机 名 上 单 击 鼠标 右键 ， 
从 弹出 的 快捷 菜单 中 单 击 “ 连 接 ” 命 令 ,进行 连接 。 成 功 之 
后 ,远程 计算 机 将 加 入 到 本 地 管理 窗口 中 ,然后 就 可 以 在 
本 地 进行 管理 。 

注意 ; 如 果 管理 计算 机 与 被 管理 计算 机 不 属于 同一 图 3.77 拒绝 访问 的 对 话 杠 
个 域 , 并 且 二 者 之 间 没 有 信任 关系 ,将 弹出 无 法 连接 的 错 
误 消 息 (如 图 3-77 所 示 ) 。 

最 后 ,还 可 以 通过 浏览 器 进行 远程 管理 。 在 管理 计算 机 的 浏览 器 地 址 栏 中 输入 
http://211. * . * .44:4153( 其 中 211. * . * .44 是 FTP 站 点 服务 器 的 IP 地 址 ,4153 是 
远程 管理 的 端口 号 ) ,打开 一 个 远程 管理 界面 ,可 以 对 站 点 的 基本 属性 、 安 全 账户 ,消息 、 主 
目录 等 进行 管理 (如 图 3-78 所 示 )。 


Internet 服务 管理 器 xj| 


Microsoft 


Internet 信息 服务 


民众 FTP 站 点 


图 3-78 通过 浏览 器 远程 管理 FTP 站 点 


3.5 电子 邮件 服务 器 的 架设 


3.5.1 常见 电子 邮件 服务 器 介绍 
电子 邮件 (E-mail) 以 其 传输 便捷 ,费用 低廉 ,能 传输 文字 、 声 音 、 图 片 等 综合 信息 的 特 
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点 备 受 人 们 青睐 。 现 在 ,在 日 常生 活 中 ,处 处 都 可 以 见 到 它 的 踪迹 ,电子 邮件 已 经 成 为 人 
们 进行 交流 的 一 种 非常 重要 的 工具 。 在 互联 网 上 出 现 邮 件 服务 以 来 ,涌现 出 了 很 多 优秀 
的 电子 邮件 服务 器 ,下 面 进行 简单 介绍 。 


1. IMail 电子 邮件 服务 器 

IMail 是 Ipswitch 公司 开发 的 一 个 世界 上 领先 的 经典 的 电子 邮件 服务 器 。 十 多 年 
来 ,在 业界 一 直 处 于 领先 地 位 , 现 有 4900 万 用 户 。IMail 不 仅 提 供 了 最 佳 的 电子 邮件 解 
决 方案 ,还 有 可 靠 的 技术 支持 和 低 成 本 的 管理 费用 。 

IMail Server 是 第 一 个 Windows NT 平台 上 包括 Web Messaging 的 邮件 服务 器 ， 
1996 年 内 建 了 邮件 列表 服务 器 ,1997 年 内 置 了 防 垃 圾 邮件 功能 ,2001 年 包含 了 基于 网 页 
的 日 历 功能 ,2002 年 内 置 了 对 于 发 送 邮件 和 接收 邮件 的 过 滤 规 则 功能 。 

IMail Server 非常 容易 安装 和 管理 。 只 需要 花 很 少 的 人 力 和 财力 就 可 以 建立 企业 所 
需要 的 邮件 服务 器 ,所 需要 的 时 间 甚 至 只 有 20 分 钟 ,后 续 的 维护 也 是 极为 方便 和 低 成 本 
的 。 在 易于 安装 ,管理 ,维护 的 同时 ,IMail 也 非常 易于 扩展 ,完全 考虑 了 用 户 今 后 系统 扩 
展 的 可 能 性 ,不 像 Microsoft Exchange 和 Lotus Notes 等 需要 昂贵 的 成 本 进行 部 署 ,还 需 
要 不 断 的 高 成 本 投入 进行 系统 的 维护 。 

最 新 的 电子 邮件 服务 器 IMail 8. 0 提供 了 三 个 版 本 。 

Q@ IMail Express: 是 一 个 免费 版 本 。 任 何人 和 组 织 都 可 以 免费 下 载 使 用 ,没有 时 间 
限制 。 在 IMail Express 版 本 中 ,可 以 容纳 10 个 用 户 和 一 个 域 。 如 果 是 个 人 用 户 、 
SOHU ,小 型 公司 ,没有 太 多 预算 用 于 购买 邮件 服务 器 ,也 无 须 全 功能 、 多 用 户 的 邮件 服务 
器 ,IMail Express 就 可 以 满足 需求 。 而 且 以 后 如 果 使 用 邮件 服务 的 用 户 增多 ,可 以 购买 
高 版 本 的 Imail ,直接 扩展 IMail Express ,进行 平滑 的 升级 。 

@ IMail Small Business: 从 这 个 版 本 起 用 户 需要 购买 。 该 版 本 没有 功能 上 的 任何 限 
制 , 每 个 IMail Small Business 服务 器 可 以 容纳 5 个 邮件 主机 和 10 个 邮件 列表 。 该 版 本 
适用 于 中 小 型 公司 。 

@ IMail Professional: 相当 于 过 去 的 IMail 无 限制 版 本 。 该 版 本 没有 任何 的 限制 ， 
包括 功能 .用 户 及 邮件 主机 ,适用 于 大 公司 和 服务 提供 商 。 在 功能 上 主要 增加 了 anti- 
spam( 具 有 统计 算法 过 滤 ,实时 黑 名 单 , 验 证 Mail From 是 否 是 真实 存在 的 邮件 地 址 , 反 
向 解析 DNS 记录 验证 邮件 发 送 服 务 器 IP 地 址 等 功能 ) 和 queme manager (自动 发 送 每 日 
邮件 报告 包括 病毒 邮件 数目 和 垃圾 邮件 数目 等 给 管理 员 ,DNS 记录 缓存 ,增加 IMail 服 
务 器 处 理 邮件 的 速度 ) 。 

Imail 8. 0 适用 于 Windows 98/NT/2000/XP 等 操作 系统 。 


2. Exchange Server 邮件 服务 器 

Exchange Server 是 微软 公司 开发 的 老牌 邮件 服务 器 ,提供 从 Exchange Server 5. 5 
的 无 缝 升级 ,同时 ,Exchange Server 2003 与 Windows Server 2003 操作 系统 之 间 实 现 了 
无 颖 化 集成 。 


该 邮件 服务 器 具有 以 下 特点 : 

Q@ Exchange Server 2003 提供 了 一 套 具 有 较 低 总 体 拥有 成 本 的 24X7 消息 和 协作 基 
础 架构 。 服 务 器 应 用 程序 专门 为 Windows Server 2000 进行 设计 ,并 提供 了 增强 的 可 靠 
性 、 伸 缩 性 以 及 从 对 消息 ,协作 与 网 络 资源 进行 统一 管理 中 派生 出 来 的 性 能 ,比如 活动 目 
录 集 成 活动 目录 连接 器 、 存 储 组 ,分布 式 服务 、 基 于 策略 的 管理 等 。 

@ Exchange Server 2003 支持 包括 组 计划 功能 、 讨 论 组 及 组 文件 夹 在 内 的 多 种 协作 
活动 。 用 户 可 使 用 内 建 的 内 容 索引 和 搜索 功能 实现 信息 查询 与 共享 。 在 使 用 Web 存储 
系统 的 情况 下 ,还 将 拥有 便捷 的 工作 流 工具 。Web 存储 系统 使 用 标准 Web 扩展 标记 语 
言 (XML) 和 超 文本 传输 协议 (HTTP) 为 工作 流 、 客 户 服务 及 知识 管理 应 用 程序 提供 托管 
下 

@ 超越 地 域 .组织 和 技术 障碍 进行 信息 访问 对 实现 快速 而 高 效 的 通信 至 关 重 要 。 在 
使 用 立即 消息 和 实时 数据 与 视频 会 议 等 特殊 的 情况 下 ,Exchange Server 2003 能 在 任何 
时 间 从 任何 地 点 对 人 或 信息 进行 访问 。 


3. Mdaemon 邮件 服务 器 

Mdaemon 邮件 服务 器 由 美国 得 克 萨 斯 州 的 AltN 技术 有 限 公 司 (Alt-N 
Technologies,LTD. ) 开 发 。 实 际 上 早 在 20 世纪 90 年 代 中 期 (1996 年 ) 就 已 推出 了 其 最 
初 的 版 本 ,然而 几经 周折 ,直到 近 一 年 来 才 慢 慢 地 开始 引起 人 们 的 广泛 关注 ,可谓 大 器 晚 
成 。 和 其 他 邮件 服务 器 端 软件 相 比 , 它 除了 支持 如 各 种 邮件 协议 和 虚拟 邮件 主机 等 常用 
的 功能 之 外 ,最 大 的 特色 在 于 它 的 Web Mail 功能 。 有 22 种 语言 界面 可 供 轻松 转换 ; 支 
持 通过 Web 页 面 ,在线 申 请 新 邮件 账户 ; Web 页面 中 功能 完整 ,甚至 可 以 直接 满足 商用 
目的 。 至 少 在 这 些 方面 ,现在 的 同类 软件 中 , 它 比 较 优秀 。 

Mdaemon PRO v6.0 是 目前 的 最 新 版 本 ,可 运行 在 Windows 98/Windows 2000/ 
2003 等 全 系列 的 Windows 操作 系统 中 。 
3.5.2 CMailServer 邮件 服务 器 介绍 

下 面 以 遥 志 软件 公司 开发 的 邮件 服务 器 CMailServer 为 例 ,介绍 邮件 服务 器 较 通 用 
的 架设 和 使 用 方法 。CMailServer 邮件 服务 器 于 2000 年 8 月 问世 ,是 遥 志 软件 公司 的 一 
款 旗 舰 产 品 , 支 持 Windows 98、Windows 2000、Windows NT、Windows XP、Windows 
2003 等 操作 系统 。 该 邮件 服务 器 是 标准 的 互联 网 邮件 服务 器 软件 ,支持 SMTP/POP3/ 
ESMTP 等 标准 互联 网 邮件 服务 协议 ,支持 互联 网 邮件 收发 ,支持 通用 的 邮件 客户 端 软件 
Outlook .Foxmail 等 收发 邮件 。CMailServer 提供 了 完善 的 Web Mail 网 页 收发 邮件 功 
能 ,用 户 可 以 通过 浏览 器 申请 邮箱 .修改 密码 接收 和 发 送 邮 件 。 另 外 ,该 邮件 服务 器 还 具 
有 以 下 特点 : 邮件 发 送 身份 验证 功能 可 以 有 效 地 防止 垃圾 邮件 发 送 者 的 入 侵 ; 管 理 员 可 
以 通过 浏览 器 进行 远程 邮件 账号 管理 ;支持 邮件 在 线 杀毒 ,能 很 好 地 和 瑞星 .诺顿 等 杀毒 
软件 配合 使 用 ,轻松 杀 除 邮件 病毒 :支持 邮件 过 滤 和 IP 过 滤 , 有 效 地 防止 垃圾 邮件 。 

采用 CMailServer 邮件 服务 器 ,可 以 实现 下 列 的 功能 : 

@ 可 以 建立 公司 域名 下 的 互联 网 邮件 服务 器 ,可 以 任意 给 员工 分 配 电子 邮箱 ,收发 
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互联 网 电子 邮件 。 

@ 可 以 对 公司 内 部 所 有 员工 的 互联 网 电子 邮件 进行 统一 管理 ,统一 由 CMailServer 
来 接收 和 发 送 ,出 色 的 邮件 账号 管理 功能 可 以 防止 公司 的 商务 机 密 外 泄 。 

@ 公司 内 部 可 以 通过 邮件 服务 器 方便 地 进行 邮件 交流 .电子 通信 文件 申报 和 传输 ， 
邮件 通知 功能 和 邮件 组 功能 可 以 方便 公司 及 时 发 布 内 部 通知 。 

@ 邮件 杀毒 功能 可 以 对 所 有 收发 的 邮件 进行 后 台 在 线 杀 毒 , 大 大 提高 了 工作 效率 和 
公司 内 部 网 络 的 安全 性 。 

@ 网 页 方式 邮件 收发 功能 使 公司 员工 可 以 在 任何 一 台 机 器 上 及 时 收发 邮件 和 传输 
文档 ,出 差 在 外 也 可 以 通过 Web Mail 及 时 了 解 公司 动态 。 

@ CMailServer 提供 了 大 量 简单 易 用 的 邮件 服务 器 二 次 开发 接口 ,可 以 使 众多 的 办 
公 自 动 化 OA 系统 .ERP 企业 管理 系统 .MIS 管理 系统 、 校 园 管理 系统 .图 书 管理 系统 和 
远程 教育 管理 系统 等 非常 容易 地 加 入 电子 邮件 服务 功能 。 

CMailServer 拥有 大 量 的 用 户 , 几 百 个 互联 网 站 常年 运行 着 CMailServer 为 其 用 户 提 
供 邮 件 服务 。CMailServer 操作 简单 ,设置 方便 ,非常 适合 用 户 使 用 ,常常 被 公司 、 机 关 、 
中 小 企业 和 学 校 等 用 来 建立 自己 的 电子 邮件 服务 器 。 


3.5.3 安装 CMailServer 邮件 服务 器 


1. 安装 准备 

安装 CMailServer 的 计算 机 的 操作 系统 , 遥 志 软件 公司 推荐 采用 Windows 2000 
Advanced Server, 本 书 讲解 时 所 采用 的 操作 系统 是 Windows 2000 Server。 如 果 需 要 使 
用 Web Mail 功能 ,服务 器 要 求 先 安装 微软 的 Web 服务 器 程序 。 针 对 Windows 2000 
Server, 需 要 安装 微软 的 Web 服务 器 IIS 5. 0, 然 后 安装 相关 的 Windows 2000 和 IIS 的 最 
新 补丁 程序 。 

安装 之 前 ,关闭 或 印 载 服务 器 上 有 可 能 造成 冲突 的 有 关 程 序 . 比 如 邮件 服务 器 、 代 理 
服务 器 、 防 病毒 软件 防火 墙 软件 等 。 检 查 110(POP3)、25(SMTP) 端 口 是 否 冲突 ,否则 会 
导致 CMailServer 邮件 服务 器 启动 时 出 现 SMTP 或 者 POP3 服务 启动 失败 等 问题 ,原因 
是 这 些 服务 需要 的 端口 被 其 他 应 用 程序 占用 了 。 如 果 出 现 设置 虚拟 目录 失败 的 情况 , 则 
因为 计算 机 上 微软 的 Web 服务 器 没有 安装 好 ,因为 CMailServer 安装 之 后 将 在 微软 的 
Web 服务 器 上 建立 两 个 虚拟 目录 。 为 了 证 实 这 一 点 ,可 以 打开 IIS? 查看 ,可 以 发 现 这 里 
已 经 增加 了 两 个 虚拟 目录 。 安 装 CmailServer 的 过 程 就 类 似 于 建设 ASP 站 点 的 过 程 。 

在 其 他 的 操作 系统 平台 上 安装 CMailServer 邮件 服务 器 ,需要 注意 以 下 事项 。 

@ 如 果 操 作 系 统 为 Windows 98/Me, 需 要 预 装 微软 Web 服务 器 PWS(Peer Web 
Server) 。 在 Windows 98 的 安装 目录 add-ons\pws 下 ,有 PWS 安装 程序 。 

@ 如 果 操 作 系统 为 Windows NT, 要求 版 本 为 4. 0 以 上 ,需要 预 装 微软 的 IIS 
(Internet Information Sevice) 。 在 NT Service Packet 盘 中 有 IIS 的 安装 程序 ,然后 安装 
Windows NT 和 IIS 的 最 新 补丁 程序 。 

@ 如 果 操 作 系统 是 Windows Server 2003 ,安装 完 Internet 信息 服务 (IIS) 后 ,在 
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Internet 服务 管理 器 中 ,选择 “Web 服务 扩展 ?选项 ,将 ASP Server Pages 设 为 允许 。 


2. 邮件 服务 器 的 安装 

邮件 服务 器 的 最 新 软件 包 可 以 从 遥 志 软件 公司 的 网 站 获得 ,网 址 为 http://www. 
youngzsoft. com/cn/download. htm, 下 载 后 解压 缩 ,执行 cmailsetup. exe 安装 程序 ,将 启 
动 安装 向 导 引 导 软 件 的 安装 。 下 面 介绍 其 主要 安装 过 程 。 

启动 安装 向 导 后 ,向 导 询问 是 否 在 本 地 计算 机 上 安装 CmailServer 5.2, 确 认 后 , 单 击 
Next 按钮 (如 图 3-79 所 示 ) 。 


党 Setup - CMailServer 


Welcome to the CMailServer 
Setup Wizard 


This wl install CMailServer 52 on your computer 


ltis recommended that you close all other applications before 
continuing. 


Click Next to continue, or Cancel to exit Setup. 


图 3-79 ”CMailServer 邮件 服务 器 安装 向 导 


在 如 图 3-80 所 示 的 窗口 中 ,系统 询问 把 软件 安装 在 何 处 ,选择 适当 的 位 置 ,这 里 选择 
F:\CMailServer\。F 盘 的 格式 是 NTFS 格式 , Windows 2000 Server 安装 在 此 分 区 中 。 


本 
Select Destination Directory ~ 
Where should CMaiServer be instaled? (YD 


Select the folder where you would like CMaiServer to be installed then click Next 


IF:\CMaiServer 


回 Documents and Settings 
Inetpub 

思 Microsoh UAM 卷 

四 Program Fies 

四 WINNT 


[er 本 


The program requires at least 2.4 MB of disk space 
ee | 


图 3-80 邮件 服务 器 安装 路 径 选 择 
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确认 后 , 单 击 Next 按钮 ,系统 依次 询问 在 何 处 创建 系统 的 快捷 方式 以 及 是 否 创建 桌面 图 
标 , 依 次 单 击 Next 按钮 。 
最 后 ,系统 进行 文件 解压 和 安装 ,如 图 3-81 所 示 。 


Installing ~ 所 
Please wait while Setup installs CMailServer on your computer. NA 


图 3-81 邮件 服务 器 的 安装 


安装 成 功 之 后 ,系统 会 自动 启动 , 主 界面 如 图 3-82 所 示 。 现 在 安装 的 是 演示 版 ,支持 
5 个 用 户 ,默认 已 经 存在 的 一 个 用 户 名 字 为 Admin, 其 密码 为 空 。 


| 总 邮件 服务 器 CMailserver 5.2 (演示 版 只 支持 5 用 户 ) 


3-82 邮件 服务 器 主 界面 


安装 成 功 后 ,可 在 浏览 器 地 址 栏 中 输入 http:// 服 务 器 地 址 /mail/ ,启动 mail 服务 。 
启动 后 的 界面 如 图 3-83 所 示 。 如 果 DNS 服务 器 中 相关 的 邮件 交换 记录 已 经 配置 完毕 
(注意 : 这 项 配置 在 局 域 网 内 部 不 是 必须 的 ) 那么 登录 到 联网 内 的 任何 一 台 客户 机 上 ,都 
能 够 通过 浏览 器 连接 到 邮件 服务 器 进行 邮件 收发 。 


上 文人 日 。 编 昌 。 查 看 尿 二 (8) 工具 (D 天 ht) 
| +P -二 -加 四 奇 | 四 扩 国 收 训 | 吉 PF | 友和 当面 
ke hepa: 。 Himat 


| 


Ni > | 
yy 新 用 户 ?马上 注册 ! 
区 账号 


图 3-83 邮件 服务 器 Web 方式 的 登录 页 面 


3.5.4 CMailServer 邮件 服务 器 的 使 用 


1. 用 户 注册 

邮件 服务 器 的 使 用 者 一 般 可 以 通过 以 下 2 种 方法 注册 新 用 户 。 

@ 通过 Web Mail 获得 。 在 如 图 3-83 所 示 的 页 面 中 点 击 " 马 上 注册 ” 超 链 接 , 打 开 邮 
件 新 用 户 注 册页 面 ( 如 图 3-84 所 示 ) ,在 该 页 面 中 输入 自己 的 账号 和 密码 ,如 果 这 个 账号 


习 邮 件 服务 器 软件 CMailServer WebMail 5.2 - Microsoft Internet Explorer 


图 3-84 通过 Web 界面 注册 用 户 
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没有 被 其 他 用 户 申 请 ,就 注册 成 功 。 然 后 ,可 以 通过 如 图 3-83 所 示 的 页 面 登 录 到 邮件 服 
务 器 上 收发 邮件 。 

@ 通过 服务 器 管理 界面 。 在 如 图 3-82 所 示 的 窗口 中 , 单 击 账 号 ”>“ 新 建 账号 ” 命 
令 或 单 击 工具 栏 上 的 “新 账号 ”按钮 ,都 可 以 打开 如 图 3-85 所 示 的 “账号 ”对 话 框 。 在 “ 基 
本 信息 ”选项 卡 中 ,可 以 设 定 账 号 的 基本 信息 ,比如 账号 名 和 密码 ,以 及 邮箱 的 大 小 和 类 


账号 x 
基本 信息 | 运程 Por3 | 邮件 苇 发 | 邮件 过 涛 | 自动 回复 | 
a= 账号 Pracbest 
一 
厂 禁用 姓名 | 


图 3-85 通过 服务 管理 器 注册 用 户 


如 果 邮 件 的 收发 仅 局 限 在 局 域 网 内 部 ,或 者 邮件 只 从 本 地 发 出 而 不 接收 ,那么 不 需要 
对 域名 服务 器 做 过 多 的 更 改 。 直 接 以 已 经 注册 的 用 户 身份 登录 ,也 不 用 考虑 所 用 域名 是 
和 否 已 经 在 Internet 上 注册 (比如 ,现在 介绍 用 的 域名 bookpub. edu. cn 是 没有 注册 的 ) ,以 
该 域名 为 电子 邮件 的 后 绥 , 在 局 域 网 内 部 收发 ,甚至 从 本 地 发 送 邮 件 到 Internet, 都 是 没 
有 问题 的 。 比 如 在 邮件 服务 器 上 注册 用 户 Idobest, 那 么 登录 到 邮件 服务 器 ,以 Idobest@ 
bookpub. edu. cn 的 身份 发 送 邮 件 到 gzhcld@163. com, 可 以 正常 收 到 。 这 说 明 当 发 送 邮 
件 时 ,本 地 域名 的 正确 与 否 对 邮件 是 否 发 送 成 功 没 有 重要 的 影响 ,而 接收 方 的 域名 本 地 计 
算 机 一 定 要 查找 到 才 行 。 


2. DNS 服务 器 的 相关 设置 

如 果 架 设 的 邮件 服务 器 仅 在 局 域 网 内 部 使 用 , 则 这 个 过 程 可 以 省 略 。 如 果 用 户 和 欲 与 
Internet 上 的 用 户 互相 收发 邮件 , 则 必须 在 DNS 服务 器 上 建立 相应 的 邮件 交换 记录 。 如 
果 采 用 Outlook Express,Foxmail 等 邮件 阅读 工具 来 收发 邮件 ,还 需要 在 DNS 服务 器 上 
建立 相应 的 POP3,SMTP,POP 协议 。 

在 DNS 服务 器 上 添加 相关 的 记录 后 的 界面 如 图 3-86 所 示 , 可 以 使 用 nslookup ,ping 
命令 检查 DNS 上 相关 的 邮件 服务 器 的 数据 记录 是 否 配置 成 功 。 

如 图 3-87 和 图 3-88 所 示 分 别 为 采用 nslookup ,ping 命令 验证 邮件 服务 器 的 MX 记 
录 及 POP3,SMTP 记录 是 否 设 置 成 功 的 过 程 。 


AR 


102 


EXR 二 Elx 
|」 时 控制 台 (G。 窗口 (W) 帮助 (HH) = 可 [FF 


| 操作 () 查看 W || 和 学 国 |X 锋 民 | 多 


和 村 | E 
上 与 父 文件 夹 相同 ) NS 
和 9 - 国 | 缓存 的 查找 A 一 
日- 回 正 向 搜索 区 域 A 192,168.100,2 
5 团 ghmt.edu.n A -一 
由 回 msdcs A 一 一 
9 stes CNAME Er 
由 国 kp A 
自生 udp 7 
向 - 国 反 向 搜索 区 域 
CNAME gzhmt.edu,cn 
CNAME gzhmt,edu.cn = 
| 


3-86 DNS 服务 器 的 相关 设置 


INT\system32\cmd.exe - nslookup 
nslookup 


Default Server: GNM gzhnt.edu.cn 


> gzhnt -ed 
Sg ,cn 
211 .Gi 


19。mail exchanger » pop3.gzhnt.edu.cn 


net addres 211 


用 nslookup 验证 MX 记录 


WINNT\system32\cmd.exe 


: hytes=32 tine<i@ns ITI 
bytes=32 tine<i@ns TIL 
bytes=32 tine<i@ns TTL 
bytes=32 tine<1iQm: 


tatistic 
ckets: eived = 4, 
nxinate round trip tines in milli-s 


Mininun = Gns, Maxinun = Gns, fA 


ic:、>ping sntp.gzhnt.edu.cn 


pinging sntp-gchnt -edu-cn [211 Ws vith 32 bytes of data: 


2 tine C1 
: bytes=32 tine<iBns 
bytes=32 tine<1i@m: 
byte: time<1Bn: 


Ping statistics for 211 Wp 5 

ckets: Sent = 4, ed 
Approxinate round trip tine 
= Bns, Maxinun = 


图 3-88 用 ping 命令 验证 POP3,SMTP 记录 
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3. 邮件 的 发 送 与 接收 

邮件 服务 器 架设 成 功 之 后 ,内 部 和 外 部 之 间 就 可 以 收发 邮件 。 一 般 , 由 内 部 向 外 部 发 
邮件 不 会 有 问题 ,因为 此 时 不 会 出 现 域名 找 不 到 的 问题 。 而 从 外 部 向 内 部 发 送 邮件 时 ,如 
果 由 于 DNS 服务 器 的 设置 出 了 问题 ,可 能 导致 出 现 邮 件 无 法 接收 到 的 现象 。 

下 面 介绍 从 外 部 向 内 部 发 一 封 邮件 的 过 程 。 现 在 有 两 个 邮件 地 址 : hncld@163. com 
和 hncld@gzhmt. edu. cn ,前 者 位 于 www. 163. com 上 ,后 者 位 于 刚刚 建立 的 邮件 服务 器 
上 。 登 录 到 www. 163. com 网 站 , 写 一 封 邮件 ,在 “ 收 件 人 ” 栏 中 输入 “*hncld@gzhmt. edu. 
cn”( 如 图 3-89 所 示 )。 


避 同 易 电子 邮箱 - Microsoft Internet Explorer 


EmalEE 


编辑 选项 : 信纸 _/ 颜色 / 图 片 / 链接 证 以 HEmdL 格 式 发 送 


163. com >mw. gzhmt.edu. cn 
cl1d@163. con- 一 一 ->hncldBgzhnt, edu. cn 


图 3-89 从 163. com 网 站 发 邮件 


然后 ,从 任何 一 台 接 入 Internet 的 计算 机 上 登录 到 CMailServer 邮件 服务 器 ,都 可 以 
通过 Web 方式 接收 到 该 邮件 (如 图 3-90 所 示 ) 。 

如 果 采 用 Outlook Express, Foxmail 等 工具 收发 邮件 ,需要 进行 以 下 配置 (以 
Outlook Express 为 例 )。 打 开 Outlook Express 应 用 程序 , 单 击 “ 工 具 ” 一 “账户 ”命令 打 
开 *Internet 账户 ”对 话 框 , 单 击 “ 邮 件 ” 选 项 卡 中 的 “添加 ”按钮 ,添加 一 个 新 邮件 (如 图 3-91 
所 示 )。 

打开 如 图 3-92 所 示 的 对 话 框 ,分 别 输入 需要 显示 的 姓名 、 邮 件 地 址 以 及 接收 和 发 送 
的 邮件 服务 器 地 址 (这 里 可 以 输入 收发 邮件 服务 器 的 IP 地 址 或 域名 ,使 用 域名 时 需要 在 
DNS 服务 器 上 做 相应 的 设置 ) 。 

单 击 “ 下 一 步 ? 按 钮 ,在 如 图 3-93 所 示 的 对 话 框 中 输入 自己 申请 到 的 账户 名 和 密码 ， 
即 可 完成 用 Outlook Express 收发 邮件 的 基本 设置 .然后 就 可 以 使 用 Outlook Express 收 
发 邮件 。 


网 络 管理 与 安全 


收 件 厢 5 封 邮件 ， 团 删除 篇 永久 删除 
口 发 件 人 主题 


口 已 “ozhedcgzhcld@163com。 邮 仁 服 务 尖 器 设 由 功 。 
[a he) Be 
<gzhcld@p163.com> 
口 已 "gzheld <gzhcld@163.com» 222222222222222222222 200 
测试 


欢迎 使 用 邮件 服务 器 
CMailServer 


“gzhcld” 
时 © gzncd@t63com> 


口 SB adminG@xdhhzxccom 


图 3-91 添加 一 个 新 邮件 


有 Internet 连接 向 导 


电子 邮件 服务 器 名 


3-92 邮件 接收 和 发 送 服务 器 的 设置 
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JInternet @ail 登录 


图 3-93 ”账户 名 和 密码 的 设置 


3.5.5 CMailServer 邮件 服务 器 的 设置 


1. 主 界面 介绍 

如 图 3-94 所 示 是 邮件 服务 器 的 主 界面 。 其 中 1 区 是 用 户 列表 区 ,双击 空白 处 ,可 以 
打开 互联 网 邮件 发 送 状态 对 话 框 , 其 中 显示 正在 发 送 的 邮件 和 无 法 传递 的 邮件 ;双击 用 户 
账号 或 组 账号 可 以 显示 用 户 账号 或 组 账号 的 相关 信息 。2 区 显示 的 是 邮件 服务 器 管理 员 
邮箱 。3 区 是 系统 指示 灯 , 当 有 用 户 正在 使 用 时 该 指示 灯 将 闪烁 。4 区 显示 的 是 多 域名 账 
号 。5 区 是 系统 日 志 区 。6 区 显示 当前 邮件 服务 器 的 用 户 数 。 双 击 7 区 可 以 获得 最 新 的 
版 本 信息 。8 区 是 系统 工具 栏 ,提供 建立 新 账号 .系统 设置 .邮件 群发 .输出 用 户 信 息 报 表 
等 功能 。 


2004/07131 20:20:46 ”允许 


1 2004107131 20:21:54 | 允许 


3-94 ”邮件 服务 器 主 界面 


区 


2. 基本 设置 

(1) 系统 设置 

在 邮件 服务 器 的 主 界面 上 单 击 * 设 置 ?按钮 ,可 打开 如 图 3-95 所 示 的 “系统 设置 ”对 
话 框 。 


系统 设 轩 FE:| 

三 服务 

个 作为 局 同 邮 利 服务器 
加 个 作为 互联 网 邮件 服务 器 

个 作为 局 大 网/ 执 号 邮件 服 务 器 
三 xpamm 厂 介 放 邮件 代理 
厂 作为 服务 运行 

大 名 设置 


个 单 域名 eet er en 编辑 | 


图 3-95 “系统 设置 "对 话 框 


下 面 介绍 “系统 设置 "对话 框 中 的 设置 。 

在 “服务 "选项 区 域 中 可 以 设置 当前 服务 器 的 工作 模式 。 有 3 种 模式 供 服务 器 选择 : 
局 域 网 邮件 服务 器 、 互 联网 邮件 服务 器 、 局 域 网 /拨号 邮件 服务 器 。 

“支持 ESMTP" 复 选 框 用 于 设置 客户 端 发 送 邮 件 身 份 认 证 。 该 选项 可 以 有 效 地 防止 
非法 用 户 利用 CMailServer 发 送 垃 圾 邮件 和 防止 盗用 他 人 邮箱 发 送 邮件 。 如 果 选 中 该 选 
项 ,客户 端的 Outlook Express 账号 设置 中 也 要 选中 “我 的 服务 器 要 求 身 份 验证 ”。 

“作为 NT 服务 运行 ” 复 选 框 用 来 设置 CMailServer 是 否 作 为 NT 服务 后 台 运 行 ,此 
功能 对 Windows NT/2000/XP/2003 有 效 。 

“允许 邮件 代理 ” 复 选 框 用 于 设置 是 否 开放 邮件 代理 功能 ,可 以 实现 客户 端 通过 
CMailServer 代理 接收 和 发 送 互 联网 邮件 。 

在 “邮箱 域名 设置 "选项 区 域 中 ,可 以 设 定 邮箱 支持 单 域名 还 是 多 域名 。 

在 如 图 3-95 所 示 的 对 话 框 中 , 单 击 “ 高 级 ”按钮 ,可 以 对 邮件 服务 器 进行 更 高 级 的 
设置 。 

(2) 高 级 设置 

@“ 互 联网 邮件 ?选项 卡 

在 如 图 3-96 所 示 的 “高 级 "对话 框 的 “互联 网 邮件 ”选项 卡 中 ,提供 了 以 下 的 功能 。 

“ 主 互联 网 DNS” 和 * 副 互联 网 DNS”: 这 两 个 默认 的 DNS 地 址 是 互联 网 DNS 服务 
器 的 根 服务 器 地 址 ,用 来 解析 互联 网 邮件 地 址 .不 要 随意 改动 。 但 是 如 果 所 在 的 网 络 无 法 
访问 这 两 个 DNS 服务 器 , 则 可 以 改 成 已 知 的 有 效 的 DNS 服务 器 地 址 。 

“最 大 重 发 次 数 ”. 用 来 设置 邮件 发 送 失 败 时 重新 发 送 的 次 数 。 互 联网 发 送 邮 件 受 网 
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3-96 “互联 网 邮件 ”选项 卡 


络 诸多 因素 的 影响 ,不 一 定 一 次 就 能 发 送 成 功 , 需 要 多 次 试验 。 

“邮件 重 发 时 间 间 隔 ”: 用 来 设置 邮件 发 送 失败 时 , 隔 多 长 时 间 重 发 。 

“通过 ISP 提供 的 SMTP 服务 器 发 送 邮 件 ”: 如 果 ISP 提供 商 对 发 送 邮件 需要 专用 的 
SMTP 服务 器 , 则 需 填 人 ISP 提供 的 地 址 和 端口 。 

@@ “账号 ”选项 卡 

在 如 图 3-97 所 示 的 “账号 ”选项 卡 中 ,提供 了 以 下 的 功能 。 


图 3-97 “账号 ”选项 卡 


“允许 通过 网 页 申请 账号 ”: 用 来 设置 是 否 开 放 Web Mail 中 的 账号 申请 功能 。 

“账号 申请 需要 授权 才能 开通 ”: 用 来 管理 用 户 账号 申请 。 如 果 选 中 该 复 选 框 ,用 户 
虽然 可 以 申请 账号 ,但 是 不 能 马上 开通 ,需要 管理 员 修改 账号 设置 ,才能 开通 该 邮箱 账号 。 

“默认 邮箱 大 小 ”: 用 来 设置 新 用 户 邮箱 的 默认 大 小 。 

“本 地 邮件 地 址 可 以 简写 ”: 如 果 选 中 该 复 选 框 ,向 本 地 用 户 发 送 邮 件 时 ,可 以 只 输入 


J 


用 户 账号 ,不 需要 输入 @ 邮 箱 域 名 。 

“POP3 邮件 检测 时 间 间 隔 ”: 用 于 设置 服务 器 是 否 自动 收取 用 户 设 置 的 POP3 邮件 
以 及 收取 邮件 的 时 间 间 隔 。 

“所 有 的 邮件 都 保存 到 此 邮件 地 址 ”: 用 来 设置 是 否 将 所 有 通过 CMailServer 发 送 和 
接收 的 邮件 保存 到 指定 的 本 地 邮箱 ,可 用 于 邮件 备份 。 

“保存 发 送 的 邮件 ”: 用 于 备份 所 有 发 送 的 邮件 。 

“保存 接收 的 邮件 ”: 用 于 备份 所 有 接收 的 邮件 。 

@@ “日 志 ” 选 项 卡 

在 如 图 3-98 所 示 的 “日 志 ” 选 项 卡 中 ,可 以 进行 有 关 日 志 的 一 些 设置 。CMailServer 
日 志 能 记录 服务 器 的 活动 情况 。 日 志 是 按照 日 期 生成 的 不 同 的 日 志文 件 。“ 日 志 ” 选 项 卡 
涉及 以 下 一 些 设置 。 

EE 


互联 网 邮件 | 账号 。 日志 ”| 邮件 过 泥 | 其 地 | 


加 全 晤 到 cnailserverlog [| 
最 大 行 数 hoooo 


snr 日志 | ror3 昌 志 | _ 互 联网 B 志 | 


图 3-98 “日 志 ” 选 项 卡 


“保存 日 志 到 ”: 用 来 设置 CMailServer 日 志文 件 的 保存 路 径 。 

“最 大 行 数 ”: 用 来 设置 日 志文 件 的 最 大 记录 保存 数量 。 

“系统 日 志 ”: 保存 所 有 的 活动 记录 。 

“SMTP 日 志 ”: 保存 所 有 的 SMTP 邮件 发 送 记 录 。 

“POP3 日 志 ”: 保存 所 有 的 POP3 邮件 接收 记录 。 

“互联 网 日 志 ”: 保存 所 有 的 互联 网 邮件 发 送 记 录 。 

“清除 日 志 ”: 清除 所 有 的 日 志 记 录 。 

@“ 邮 件 物流 ”选项 卡 

在 如 图 3-99 所 示 的 “邮件 过 滤 ” 选 项 卡 中 ,涉及 以 下 的 一 些 设置 。 

“邮件 过 滤 列 表 ”: 可 以 添加 需要 拒 收 的 邮件 地 址 ,如 free@aaa. com; 也 可 以 屏蔽 某 
一 域名 的 所 有 邮箱 ,如 @aaa. com。 

“IP 地 址 屏蔽 列表 ”: 可 以 输入 需要 拒 收 邮件 的 IP 地 址 ,如 211. 68. 65. 65 ,也 可 以 加 
入 IP 地 址 段 ,如 202. 168. 0. 1 一 202. 168. 0. 255 。 
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3-99 “邮件 过 滤 ? 选 项 卡 


加 “其 他 "选项 卡 
在 如 图 3-100 所 示 的 “其 他 ”选项 卡 中 ,涉及 以 下 的 一 些 设置 。 


3-100 “其 他 ”选项 卡 


“语言 选择 ”: 用 来 选择 邮件 服务 器 的 界面 语言 ,例如 中 文 可 以 设置 为 "ChineseGB”。 

“最 小 化 ”: 当 CMailServer 启动 时 .CMailServer 最 小 化 成 系统 栏 图 标 。 

“自动 启动 ”>: 当 Windows 启动 时 ,CMailServer 自动 启动 。 

“自动 锁定 ”: 当 Windows 启动 时 ,自动 锁定 操作 界面 。 另 外 ,可 以 在 主 界面 中 单 击 
“操作 ”一 “锁定 操作 界面 "命令 ,来 进行 手动 锁定 。 锁 定 界面 后 , 单 击 系统 状态 栏 上 的 图 
标 , 会 打开 一 个 登录 对 话 框 ,要 求 输入 密码 。 只 有 输入 正确 的 密码 ,才能 够 进入 操作 界面 。 
通过 单 击 菜单 “工具 ”一 “管理 员 密 码 ” 命 令 可 以 来 修改 管理 员 密 码 。 

“POP3 端口 ”: 用 来 设置 邮件 服务 器 POP3 端口 ,默认 为 110 ,一 般 不 需要 修改 。 

“SMTP 端口 ”: 用 来 设置 邮件 服务 器 SMTP 端口 .默认 为 25 ,一 般 不 需要 修改 。 


A 


“账号 端口 ”: 用 来 设置 Web Mail 客户 端 账号 管理 端口 ,默认 为 8011, 一 般 不 需要 
修改 。 

“代理 服务 器 ”: 如 果 安 装 邮件 服务 器 的 计算 机 是 通过 代理 上 网 ,要 收发 互联 网 的 邮 
件 , 需 输入 代理 服务 器 的 地 址 和 端口 号 。 

“邮件 杀毒 ”: 输入 局 域 网 中 安装 杀毒 软件 的 计算 机 的 IP 地 址 和 端口 号 110( 如 果 杀 
毒 软件 安装 在 服务 器 上 ,IP 地 址 输入 127. 0. 0. 1) ,可 以 为 客户 端 提供 邮件 杀毒 功能 ,确保 
计算 机 的 安全 (推荐 使 用 瑞星 诺顿) 。 


3.6 PROXY 服务 器 的 架设 


3.6.1 代理 服务 器 的 特征 

解决 大 中 型 网 络 的 全 局 IP 地 址 缺乏 和 提高 访问 Internet 的 速度 时 ,通常 使 用 代理 服 
务 器 。 

代理 服务 器 具有 以 下 作用 。 

QO 实现 访问 Internet 代理 : 代理 服务 器 能 把 从 内 部 IP 地 址 发 出 的 访问 请 求 进行 地 
址 转换 和 数据 包 转 发 ,在 公司 有 单个 或 有 限 的 公有 IP 地 址 的 情况 下 ,可 以 使 具有 私有 IP 
地 址 的 主机 通过 代理 服务 器 对 Internet 进行 访问 。 

@ 通过 缓存 提高 访问 速度 : 代理 服务 器 通过 在 服务 器 硬盘 上 开辟 高 速 缓存 ,存储 访 
问 过 的 Internet 数据 。 当 用 户 访问 某 个 网 站 时 ,代理 服务 器 首先 检查 自己 的 缓存 中 是 否 
有 该 网 站 的 数据 ,如 果 有 ,就 直接 传 给 用 户 ; 如 果 没 有 ,就 向 该 网 站 服务 器 发 起 请 求 , 获 取 
数据 再 转发 给 用 户 ,同时 在 缓存 中 保存 该 份 数 据 的 副本 。 当 再 有 用 户 请 求 访问 相同 的 数 
据 时 ,代理 服务 器 直接 从 缓存 中 把 数据 传 给 用 户 ,而 不 再 向 该 网 站 服务 器 发 起 请 求 。 通 过 
代理 方式 上 网 的 用 户 可 提高 访问 Internet 的 速度 ,但 可 能 出 现 数据 的 过 时 间 题 ,所 以 要 注 
意 代理 服务 器 的 相关 参数 的 设置 。 

@ 提高 网 络 的 安全 性 : 代理 服务 器 通常 位 于 Internet 与 内 部 用 户 之 间 ,这样 就 从 物 
理 上 或 逻辑 上 把 二 者 隔 开 ,提高 了 内 部 用 户 的 安全 性 。 对 于 内 部 用 户 ,可 以 在 代理 服务 器 
的 作用 下 访问 Internet; 对 于 外 部 用 户 ,看 到 的 仅仅 是 代理 服务 器 ,而 看 不 到 内 部 的 用 户 。 

现在 市 场 上 的 代理 软件 有 很 多 ,比较 典型 的 有 ISA,WinProxy, WinGate,GJProxy， 
SuperProxy,SyGate 等 。 下 面 对 ISA 简单 进行 介绍 。 

ISA 是 微软 公司 的 产品 。Microsoft Internet Security and Acceleration(ISA) Server 
2000 是 一 个 可 扩展 的 企业 防火 墙 和 Web 缓存 服务 器 , 它 是 继 Microsoft Proxy Server 
2.0 版 本 后 的 新 版 ,能 够 与 Windows 2000 和 Windows Server 2003 操作 系统 完美 集成 ， 
提供 基于 策略 的 安全 性 及 互联 网 的 管理 。ISA Server 2004 于 2004 年 7 月 到 9 月 正式 
始 销售 。ISA Server 2004 为 各 种 类 型 的 网 络 提供 了 高 级 保护 、 易 用 性 和 快速 ,安全 的 访 
问 ,尤其 适合 于 保护 运行 Microsoft 应 用 程序 (如 Microsoft Outlook Web Access、 
Microsoft Internet 信息 服务 、Office SharePoint Portal Server、 路 由 和 远程 访问 服务 、 
Active Directory 目录 服务 等 ) 的 网 络 。 
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ISA Server 2004 包含 一 个 功能 完善 的 应 用 程序 层 感 知 防火 墙 ,有 助 于 保护 各 种 规模 
的 组 织 免 遭 外 部 和 内 部 威胁 的 攻击 。ISA Server 2004 对 Internet 协议 (如 超 文 本 传输 协 
议 HTTP) 执 行 深入 检查 ,这 使 它 能 检测 到 许多 传统 防火 墙 检测 不 到 的 威胁 。ISA Server 
的 集成 防火 墙 和 VPN 体系 结构 支持 对 所 有 VPN 通信 进行 有 状态 筛选 和 检查 。 该 防火 
墙 还 为 基于 Windows Server 2003 的 隔离 解决 方案 提供 了 VPN 客户 端 检查 ,帮助 保护 网 
络 免 遭 通过 VPN 连接 进入 的 攻击 。 此 外 ,全 新 的 用 户 界面 .向 导 、 模 板 和 一 组 管理 工具 
可 以 帮助 管理 员 避 免 常见 的 安全 配置 错误 。 

下 面 主 要 以 遥 志 软件 公司 的 产品 CCProxy 为 例 ,来 对 代理 服务 器 的 使 用 .配置 及 管 
理 进行 介绍 。 
3.6.2 CCProxy 代理 服务 器 介绍 

CCProxy 是 北京 新 世纪 遥 志 软件 开发 有 限 公 司 在 1999 年 6 月 开发 的 一 个 代理 软件 ， 
现在 的 最 新 版 本 是 6. 0。 该 软件 可 用 于 局 域 网 内 共享 Modem 代理 上 网 .ADSL 代理 共 
享 、 宽 带 代理 共享 .专线 代理 共享 .ISDN 代理 共享 .卫星 代理 共享 .蓝牙 代理 共享 和 二 级 
代理 等 共享 代理 上 网 的 各 种 环境 中 。CCProxy 主要 完成 两 个 方面 的 任务 , 即 代 理 共 享 上 
网 和 客户 端 代理 权限 管理 。 在 局 域 网 内 ,只 需 有 一 台 计 算 机 连接 到 Internet 并 安装 
CCProxy, 其 他 计算 机 就 可 以 通过 这 台 机 器 上 安装 的 CCProxy 来 代理 共享 上 网 ,从 而 最 
大 限度 地 减少 硬件 投入 和 上 网 费用 的 开支 。 为 了 对 代理 上 网 用 户 进 行 管理 ,可 以 在 
CCProxy 代理 服务 器 上 进行 账号 设置 ,从 而 对 上 网 用 户 进行 管理 和 跟踪 。 在 提高 员工 的 
工作 效率 和 企业 信息 安全 管理 方面 ,CCProxy 像 其 他 代理 软件 一 样 充当 了 重要 的 角色 。 

通过 代理 服务 器 CCProxy 可 以 实现 代理 浏览 网 页 .代理 收发 电子 邮件 .代理 QQ 通 
信 等 ,网 页 缓冲 功能 还 能 够 提高 网 页 浏览 速度 。CCProxy 在 实现 共享 代理 上 网 的 同时 ， 
还 提供 了 强大 的 代理 上 网 权限 管理 功能 。 这 些 功 能 包括 : 控制 局 域 网 用 户 的 代理 上 网 权 
限 ,有 7 种 控制 方式 ,如 IP 地 址 ,IP 段 .MAC 地 址 、 用 户 名 /密码 、IP 十 用 户 名 /密码 、 
MAC 十 用 户 名 /密码 、IP 十 MAC; 能 控制 用 户 的 共享 代理 上 网 时 间 : 可 以 使 有 些 用 户 只 
能 在 非 工作 时 间 代 理 上 网 ,同时 又 可 以 让 有 些 用 户 能 全 天 代理 上 网 ;能 对 不 同 的 用 户 开 放 
不 同 的 代理 上 网 功能 : 可 以 使 有 些 用 户 只 能 浏览 网 页 ,有 些 用 户 只 能 代理 收发 邮件 ,同时 
有 些 用 户 能 使 用 所 有 代理 服务 器 提供 的 上 网 功能 ;可 以 给 不 同 的 用 户 分 配 不 同 的 带宽 , 控 
制 其 代理 上 网 速度 和 所 占用 的 带宽 资源 ,可 以 有 效 地 控制 有 些 用 户 因为 下 载 文件 而 影响 
其 他 用 户 代理 上 网 的 现象 ,还 可 以 统计 每 个 用 户 每 天 的 代理 上 网 网 络 总 流量 ;可 以 给 不 同 
的 用 户 设置 网 站 过 滤 ,特别 保护 青少年 远离 不 健康 网 站 ;同时 强大 的 日 志 功 能 可 以 有 效 监 
视 局 域 网 代理 上 网 记录 。 

总 之 ,CCProxy 非常 适合 用 户 使 用 。 无 论 是 政府 机 关 部 门 、 大 中 小 型 公司 、 学 校 或 网 
吧 ,CCProxy 都 是 实现 共享 上 网 的 首选 代理 服务 器 软件 。 目 前 它 是 下 载 量 最 大 的 国产 代 
理 服务 器 软件 。 
3.6.3 CCProxy 的 安装 及 配置 


CCProxy 的 安装 环境 为 : 服务 器 操作 系统 Windows Server 2003, 一 块 网 卡 (当然 也 
可 以 选择 双 网 卡 ),CCProxy 的 版 本 是 6 .0。 
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1. 代理 服务 器 CCproxy 的 安装 
该 软件 的 压缩 包 下 载 的 网 址 为 http://www. youngzsoft. com/cn/download. htm 。 
下 载 后 解压 缩 , 运 行 ccproxysetup 安装 程序 ,将 启动 安装 向 导 。 安 装 向 导 将 依次 询问 是 
否 确认 安装 该 软件 .软件 安装 的 路 径 , 以 及 是 否 创建 快捷 方式 .桌面 图 标 、 快 速 启 动 图 标 
等 。 安 装 之 后 CCProxy 将 迅速 启动 , 主 界面 如 图 3-101 所 示 。 


回 ccProxy 6.0( 演 示 版 只 能 支持 3 用 户 ) lel Ed| 


加 9 回 % 可 尿 如 
司 动 停止 ”设置 账号 注册 退出 隐语 帮助 


Copyright (C) 2000-2003 YoungZSoft vy 311 19:34:29 


图 3-101 代理 服务 器 主 界面 


2. 代理 服务 器 CCProxy 的 配置 
打开 本 地 连接 ,对 TCP/IP 协议 的 属性 进行 配置 。 在 属性 设置 对 话 框 中 输入 本 机 的 固 
定 地 址 、 子 网 掩 码 、 网 关 、DNS 服务 器 的 了 P 地 址 ,保证 代理 服务 器 能 够 正常 连接 Internet 
(如 图 3-102 所 示 )。 在 本 实验 中 ,安装 代理 服务 器 的 主机 IP 地 址 是 211. x*. x* .44。 
EE 
使 | 
总 


个 自动 获得 IP 地 址 @) 


IP 地 址 区 ): 211 44 
子 网 掩 码 wD: 255 .255 . 0 .0 
默认 网 关 @): 211 | 


人 自动 获得 全 


人 使 用 下 面 的 
首选 DIS 服务 器 E); D 
备用 DNS 服务 器 入): 21. .i 


图 3-102 代理 服务 器 的 基本 设置 


在 如 图 3-101 所 示 的 界面 中 , 单 击 “ 设 置 ” 按 钮 ,打开 “设置 ”对话 框 (如 图 3-103 所 
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示 )。 在 该 对 话 框 中 ,可 以 设置 代理 服务 器 能 够 提供 的 服务 以 及 不 同 协议 所 工作 的 端口 。 
有 一 点 需要 注意 ,一 定 要 设置 好 自动 检测 ,否则 容易 出 错 。 在 “设置 ”对 话 框 中 单 击 “ 高 级 ” 
按钮 ,可 以 对 代理 服务 器 的 更 多 属性 进行 设置 ,比如 日 志 存 放 位 置 、 建 立新 日 志 的 触发 条 
件 以 及 二 级 代理 功能 的 设置 等 。 


KW 


3-103 “设置 "对 话 框 


3. 客户 机 的 设置 

对 于 微软 的 操作 系统 Windows 98/XP/2000, Windows Server 2003 其 中 的 设置 基本 
一 样 。 首 先 保 证 客户 机 已 获得 与 服务 器 在 同一 个 子 网 内 的 IP 地 址 ,此 时 通过 ping 命令 
能 够 连接 到 服务 器 ;然后 在 浏览 器 中 单 击 * 工 具 ? 一 "Internet 选项 ”命令 打开 “Internet 选 
项 "对话 框 ,切换 到 “连接 ”选项 卡 (如 图 3-104 所 示 ) 。 


3-104 “连接 ”选项 卡 


网 络 管理 与 安全 


在 该 对 话 框 中 单 击 “ 局 域 网 设置 ”按钮 ,打开 “局 域 网 设置 ”对 话 框 。 选 中 “自动 检测 设 
置 " 复 选 框 ,同时 选中 “使 用 代理 服务 器 " 复 选 框 ,并 在 “地 址 ”文本 框 中 输入 代理 服务 器 的 
IP 地 址 ( 即 211. * . * . 44) ,在 “端口 "文本 框 中 输入 端口 号 。 

注意 : CCProxy 安装 后 HTTP 代理 的 默认 端口 是 808, 该 端口 号 在 代理 服务 器 上 可 
以 修改 。 这 里 已 把 端口 修改 为 8080) 。 

最 后 选中 * 对 于 本 地 地 址 不 使 用 代理 服务 器 ? 复 选 框 ,这 样 访问 的 服务 器 位 于 本 地 网 
络 内 时 ,将 不 经 过 代理 而 直接 访问 (如 图 3-105 所 示 ) 。 

CCProxy 代理 服务 器 不 仅 支持 HTTP 代理 ,对 于 FTP,Gopher,SOCKS4/5,Telnet， 
Secure(HTTPS) ,News(NNTP),RTSP,MMS 等 同样 支持 代理 ,这 些 具 体 的 设置 需要 在 
高 级 属性 中 进行 。 如 需 进行 相关 的 设置 ,可 在 如 图 3-105 所 示 的 对 话 框 中 单 击 “ 高 级 ” 按 
钮 ,打开 * 代 理 服务 器 设置 ?对 话 框 , 对 其 他 类 型 的 服务 进行 设置 (如 图 3-106 所 示 )。 依 次 
在 不 同 服务 类 型 的 “代理 服务 器 地 址 ”中 输入 服务 器 的 IP 地 址 ,在 “端口 ”文本 框 中 输入 提 
供 相应 服务 的 端口 号 。 设 置 完 毕 , 确 认 设 置 有 效 。 然 后 打开 客户 机 的 浏览 器 ,输入 网 址 ， 
就 能 够 顺利 地 上 网 。 


图 3-105 使 用 代理 服务 器 的 配置 图 3-106 ”代理 服务 器 的 高 级 设置 


3.6.4 账户 设置 

默认 情况 下 ,CCProxy 启动 之 后 ,任何 局 域 网 内 的 用 户 经 过 代理 服务 器 的 代理 ,都 可 
以 不 受 限制 地 上 网 ,收发 邮件 、 聊 天 等 。 但 为 了 加 强 管理 ,CCProxy 提供 了 账号 管理 的 功 
能 ,使 具有 具有 合法 账号 的 用 户 才 可 通过 代理 服务 器 登录 Internet。 设 置 账号 可 以 对 代 
理 服务 器 的 客户 端 上 网 所 采用 的 协议 时间、 速度 .网 站 过 滤 以 及 是 否 允 许 上 网 等 进行 
控制 。 

在 如 图 3-101 所 示 的 界面 中 单 击 “ 账 号 ”按钮 ,打开 如 图 3-107 所 示 的 “账号 管理 ”对 
话 框 。 通 过 CCProxy 的 “账号 管理 ”对 话 框 ,网 络 管理 员 可 以 方便 地 添加 新 账户 ,对 账户 
进行 配置 和 管理 ,对 客户 端 使 用 的 各 种 上 网 协议 、 上 网 时 间 、 登 录 网 址 和 人 允许 上 网 用 户 的 
范围 等 进行 控制 和 管理 等 。 该 对 话 框 主要 包括 3 个 区 域 ,分 别 是 “允许 范围 ”"“ 验 证 类 型 
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和 “账号 设置 ”。 
EE > 
怀 性 - 过 源 / 时 间 
向 a JE | 图 ewe | 
验证 类 型 : 用户 /过细 + Tt 地 址 到 时 间 安排 | 


E 
: 


图 3-107 “账号 管理 "对话 框 


“允许 范围 "有 3 种 选择 。 

中 “全 部 允许 ?是 默认 状态 ,表示 允许 该 局 域 网 内 的 所 有 客户 端 上 网 。 

加 “允许 部 分 ?表示 只 有 加 入 用 户 列表 的 用 户 和 组 可 以 上 网 , 当 客户 机 连接 代理 服务 
器 时 ,代理 服务 器 将 根据 设 定 条 件 进 行 验证 。 

图 “不 允许 部 分 ?表示 拒绝 加 入 用 户 列表 的 用 户 使 用 代理 服务 器 , 除 此 之 外 的 其 他 用 
户 都 可 以 。 

“验证 类 型 "有 7 种 选择 。 此 选项 用 来 设置 默认 账号 管理 方式 ,编辑 单个 用 户 还 可 以 
对 单个 用 户 采 用 特别 的 账号 管理 方式 , 即 实现 多 种 组 合 控制 方式 混合 共存 。 

Q “IP 地 址 ?是 指 用 户 的 身份 通过 IP 地 址 来 验证 。 

@@“MAC 地 址 ?是 指 用 户 的 身份 通过 MAC 地 址 (网 卡 的 物理 地 址 ) 来 验证 。 

@@“ 用 户 / 密 码 ” 是 指 用 户 的 身份 通过 用 户 名 和 密码 来 验证 。 

@@ “用户 /密码 十 IP 地 址 ?是 指 用 户 的 身份 通过 用 户 名 、 密 码 和 IP 地 址 三 者 同时 来 


@ “用户 /密码 十 MAC 地 址 ?是 指 用 户 的 身份 通过 用 户 名 、 密 码 和 MAC 地 址 三 者 同 
时 来 验证 。 

@ “IP 十 MAC” 地 址 是 指 用 户 的 身份 通过 IP 地 址 和 MAC 地 址 同时 验证 。 

“用 户 / 密 码 十 IP 地 址 十 MAC 地 址 ”是 指 用 户 的 身份 通过 用 户 名 、 密 码 和 IP、 
MAC 地 址 四 者 同时 来 验证 。 

“账号 设置 "有 4 个 功能 。 

Q@ “新建”: 可 以 新 建 一 个 账号 。 

@“ 编 辑 ”: 可 以 修改 一 个 账号 。 

@“ 删 除 ”: 可 以 删除 一 个 或 几 个 账号 (选择 删除 多 个 账号 时 可 以 在 按 住 Ctrl 键 的 同 
时 单 击 账 号 ) 。 


J 


@@“ 自 动 扫 描 ”: 这 个 功能 是 方便 管理 员 初 始 化 账号 信息 的 , 当 第 一 次 设置 账号 的 时 
修 , 管 理 员 可 以 打开 所 有 的 客户 端 机 器 ,然后 单 击 “自动 扫描 ”按钮 ,输入 起 始 IP 地 址 和 结 
东 IP 地址 ,就 可 以 自动 获取 局 域 网 中 所 有 客户 端 机 器 的 IP 地 址 .MAC 地址 和 机 器 名 , 支 
持 跨 网 段 扫 描 。 

在 如 图 3-107 所 示 的 对 话 框 中 单 击 “ 新 建 "按钮 可 以 建立 一 个 新 的 代理 账户 ,通过 “ 编 
辑 ” 按 钮 可 以 对 当前 账号 的 数据 进行 编辑 。 下 面 举 例 介绍 如 何 建立 一 个 新 账户 。 单 击 “ 新 
建 ?按钮 ,打开 如 图 3-108 所 示 的 “账号 ”对 话 框 。 


旦 号 | 
闸 用 户 各 /组 名 ha 
打 密码 ee 
IF 环 地 址 /TP 自 Zr | | 
厂 mc 地 址 Fassass | 
最 大 连接 数 厅 。 寺 二 RE 接收 :-1 


Fw 厅 邮 件 屎 Telnet 灰 远 程 氮 号 
万 FP 打 socks 把 其 地 


图 3-108 “账号 ”对 话 框 


在 “账号 ”对 话 框 中 有 两 个 参数 可 以 控制 客户 端的 上 网 速度 , 即 “ 最 大 连接 数 ” 和 “ 带 
宽 ”。 其 中 “最 大 连接 数 ? 是 指 服务 器 同时 响应 的 客户 端的 最 多 连接 数 ,该 客户 端 多 余 的 连 
接 将 被 代理 服务 器 自动 挂 起 ,直到 该 客户 端 释放 已 经 响应 的 连接 。“ 带 宽 ( 字 节 / 秒 )" 是 指 
客户 端 每 秒 最 大 的 字 节 流量 。 在 “网 站 过 滤 ” 下 拉 列 表 框 中 可 以 限定 哪些 网 站 可 以 用 户 访 
问 ,哪些 网 站 不 可 以 用 户 访问 。 在 “时 间 安 排 ? 下 拉 列 表 框 中 可 以 设 定 用 户 能 够 使 用 代理 
服务 器 的 时 间 ,比如 可 以 限定 用 户 在 某 个 时 间 段 不 能 通过 代理 访问 Internet。 

为 用 户 设 定 了 用 户 账 户 和 密码 后 :在 如 图 3-107 所 示 的 对 话 框 的 “验证 类 型 ”下拉 列 
表 框 中 选择 包含 用 户 / 密 码 的 验证 类 型 ,这 样 客户 端 在 通过 浏览 器 上 网 时 ,浏览 器 会 弹出 
要 求 输入 用 户 名 和 密码 的 对 话 框 (如 图 3-109 所 示 )。 只 是 在 启动 浏览 器 第 一 次 访问 网 站 
时 需要 输入 用 户 名 和 密码 ,在 已 经 打开 的 浏览 器 中 访问 新 的 网 站 和 打开 新 的 窗口 时 不 需 
要 输入 用 户 名 和 密码 ,但 是 启动 新 的 浏览 器 访问 网 站 会 要 求 再 次 输入 用 户 名 和 密码 。 
3.6.5 代理 服务 器 的 管理 

在 如 图 3-101 所 示 的 代理 服务 器 的 主 界面 上 双击 ,打开 如 图 3-110 所 示 的 “用 户 连 接 
信息 ”对 话 框 ,可 以 查看 当前 正在 连接 的 用 户 访 问 的 页 面 。 其 中 “连接 数 ” 表 示 客 户 机 和 代 
理 服务 器 之 间 现 在 的 连接 数 , 而 “用 户 数 ”表示 当前 正在 上 网 的 用 户 数 , 这 两 个 数字 是 不 同 
的 。 比 如 一 个 用 户 在 同一 个 时 刻 可 以 和 代理 服务 器 建立 多 个 连接 ,这 些 连 接 信息 将 被 保 


第 3 章 Windows Server 2003 的 网 络 管理 与 服务 


图 3-109 具有 账户 的 用 户 进行 代理 上 网 


存在 日 志 中 。 在 下 面 的 列表 框 中 列 出 了 用 户 连 接 的 时 间 、 用 户 的 IP 地 址 以 及 连接 的 页 
面 。 至 于 用 户 名 ,与 代理 服务 器 的 设置 有 关 。 当 代理 服务 器 的 验证 类 型 设置 为 “允许 所 
有 ”时 ,上 网 用 户 的 用 户 名 都 以 unknown 表示 ;当代 理 服务 器 的 验证 类 型 设置 为 需要 验证 
用 户 名 和 密码 时 ,通过 账号 连接 代理 服务 器 的 用 户 名 将 在 这 里 列 出 。 


Web GET http://www, edu. cry 
http:/ Gk 


3-110 用 户 连接 信息 


在 如 图 3-110 所 示 的 对 话 框 中 单 击 “打开 日 志 ? 按 钮 ,将 打开 软件 存放 日 志 的 文件 夹 
(c:\ccproxy\log\) ,可 以 对 日 志 进 行 查看 。 单 击 “ 清 除 日 志 ” 按 钮 ,可 以 把 当前 的 连接 信 
息 清除 ,同时 也 会 把 log 目录 下 的 所 有 文件 删除 。 

另外 ,代理 服务 器 CCProxy 还 提供 了 很 多 实用 的 功能 ,详细 的 设置 可 参考 遥 志 软件 
开发 有 限 公 司 的 网 站 。 


天 


3.7 思考 和 练习 


1. 在 组 建 网 络 时 ,通常 采用 哪些 协议 ? 这 些 协议 的 特点 是 什么 ? 

2. 分 析 ISO 和 TCP/IP 两 个 模型 的 不 同 ,并 指出 每 个 协议 层 的 特点 以 及 工作 在 该 层 
的 常见 网 络 设备 。 

3. 解释 域名 服务 器 的 工作 原理 ,配置 对 应 的 MX 记录 、A 记录 和 CNAME 记录 ,并 
使 用 nslookup 命令 来 判断 域名 服务 是 否 正 常 。 

4. 分 析 常 用 名 称 服 务 解决 方案 的 各 自 特点 。 

5. 什么 是 远程 访问 服务 ? 如 何 建立 对 应 的 访问 策略 ? 

6. 如何 建立 虚拟 专用 网 ? 

7. 利用 两 路 独立 的 电话 线 , 架 设 RRAS 服务 器 ,并 实现 从 客户 机 氢 入 。 注 意 拨 入 前 
后 服务 器 和 客户 机 的 状态 变化 。 

8. 分 析 各 种 常见 服务 的 日 志 。 


3.8 实 训 练习 


实 训 练习 1: 配置 DHCP 服务 和 DNS 服务 

要 求 : 

(1) 配置 DHCP 服务 。 请 考虑 在 一 个 局 域 网 内 如 果 启 用 了 多 个 DHCP 服务 ,如 何 确 
保 其 中 一 个 DHCP 服务 工作 ,而 禁止 其 他 的 DHCP 服务 生效 ? 

(2) 在 客户 端 采用 ipconfig 命令 来 查看 和 管理 IP 地 址 。 请 比较 在 客户 端 采用 
DHCP 方式 获得 IP 地 址 与 采用 指定 IP 地 址 两 种 方法 的 各 自 特点 。 

(3) 配置 DNS 服务 器 ,并 配置 对 应 的 MX 记录 和 A,CNAME 记录 ,并 使 用 nslookup 
命令 来 判断 域名 服务 是 否 正常 。 


实 训练 习 2: 配置 Web 服务 器 和 Proxy 服务 器 

要 求 : 

(1) 建立 Web 服务 器 环境 ,并 指出 通过 哪些 方法 来 提高 服务 的 安全 性 。 
(2) 建立 邮件 服务 器 环境 ,实现 邮件 的 收发 。 
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4.1 交换 机 的 配置 和 管理 


交换 机 工作 在 OSI 模型 的 数据 链 路 层 ,无 论 是 构造 局 域 网 还 是 Internet, 离 开交 换 机 
是 根本 不 行 的 ,尤其 是 上 网 用 户 越 来 越 多 的 情况 下 ,网 络 冲突 和 带宽 争 用 必须 要 用 交换 机 
才能 解决 。 在 网 络 管理 的 所 有 工作 中 ,交换 机 的 管理 和 配置 应 该 是 最 基本 ,也 是 最 实用 
的 ,因为 一 个 实用 的 网 络 至 少 也 要 构成 局 域 网 ,所 以 没有 交换 机 的 网 络 是 不 可 能 的 。 路 由 
器 虽然 重要 ,但 是 构成 网 络 时 它 却 不 是 必需 的 ,比如 局 域 网 没有 路 由 器 也 可 以 运行 。 所 
以 ,交换 机 的 配置 和 管理 技术 是 网 管 员 必须 掌握 的 ,而 且 一 旦 掌握 了 它 , 其 他 内 容 如 路 由 
器 的 配置 和 管理 就 会 触 类 旁 通 , 容易 学 会 。 它 们 的 配置 都 是 基于 网 际 操作 系统 
(Internetwork Operating System,IOS) ,基本 性 质 一 样 ,只 是 有 一 些 命 令 不 同 。 
4.1.1 交换 机 的 MAC 地 址 学 习 功 能 和 数据 转发 原理 

在 第 2 章 中 已 经 了 解 到 ,交换 机 是 构建 局 域 网 的 主要 设备 ,无 论 组 成 什么 样 的 局 域 
网 ,离开 交换 机 是 不 可 能 的 ,可 以 毫 不 夸张 地 说 它 是 构建 网 络 最 核心 的 设备 之 一 。 交 换 机 
的 类 型 有 很 多 种 ,但 目前 使 用 最 广泛 的 是 以 太 网 交换 机 , 它 实 际 上 已 成 为 局 域 网 的 标准 交 
换 设备 。 目 前 ,以 太 网 已 不 是 常规 意义 上 的 基于 IEEE 802. 3 的 10Base-T(10Mbps) , 根 
据 使 用 的 范围 和 需要 ,基于 IEEE 802. 3u 的 快速 以 太 网 (100Mbps) 和 吉 比 特 以 太 
网 (1Gbps) 甚 至 10Gbps 的 以 太 网 都 已 经 或 正在 投入 使 用 。 

交换 机 是 一 种 基于 MAC 地 址 识别 ,能 完成 封装 并 转发 数据 帧 的 网 络 设备 , 它 位 于 
OSI 参考 模型 的 数据 链 路 层 ( 第 二 层 ), 因 此 又 称 为 二 层 设备 。 现 在 高 档 的 交换 机 已 经 将 
路 由 功能 整合 在 交换 机 内 ,形成 了 三 层 交 换 机 ,但 核心 功能 还 是 在 第 二 层 。 以 太 网 交换 机 
主要 实现 了 MAC 地 址 学 习 , 数 据 帧 的 转发 和 过 滤 功 能 。 当 交换 机 检测 到 从 接口 发 来 的 
数据 分 组 时 ,会 识别 其 源 地 址 和 目的 MAC 地 址 ,然后 与 系统 内 部 的 动态 MAC 地 址 表 比 
较 , 这 张 表 中 有 MAC 地 址 与 接口 的 映射 关系 。 如 果 表 中 没有 源 地 址 和 目的 MAC 地 址 ， 
则 将 新 的 映射 关系 加 入 表 中 ,形成 主机 MAC 地 址 与 交换 机 接口 的 对 应 关系 ,这 种 关系 称 
为 地 址 学 习 。 

MAC 地 址 表 实 际 上 是 一 张 存放 在 CAM(Content Addressable Memory ,包含 地 址 的 
内 存 ) 中 的 列表 ,在 启动 初期 它 是 空白 的 , 当 交 换 机 与 其 他 的 主机 (包括 带 有 网 卡 的 计算 机 


J 


主机 或 其 他 有 MAC 地 址 的 网 络 设 备 ) 交 互 访 问 后 , 才 会 在 主机 MAC 地 址 与 交换 机 接口 
之 间 产 生 映 射 , 当 映射 关系 完成 后 形成 主机 与 交换 机 接口 的 一 一 对 应 关系 。 形 成 MAC 
表 的 原则 如 下 : 

@ 当主 机 通过 交换 机 发 送 数据 帧 时 ,主机 的 源 MAC 地 址 被 交换 机 读 取 ,并 使 相连 
的 交换 机 接口 与 这 个 MAC 地 址 建立 映射 关系 。 

@ 建立 的 映射 关系 形成 MAC 表 . 保 存 到 交换 机 的 CAM 中 。 

@ 当主 机 发 送 的 数据 帧 中 的 目的 MAC 地 址 能 在 MAC 表 的 映射 关系 中 找到 对 应 的 
交换 机 接口 时 ,数据 发 往 这 个 接口 ,并 到 达 接 口 映 射 的 MAC 地址 对 应 的 主机 。 

MAC 地 址 表 形 成 的 简单 过 程 如 图 4-1 所 示 。 


MAC 地 址 表 


主机 A 主机 C 


MAC 地 址 : MAC 地 址 : 
001485E282A1 001485E282A3 


主机 B 主机 D 


MAC 地 址 : MAC 地 址 : 
001485E282A2 001485E282A4 


图 4-1 主机 A 发 送 数据 给 主机 D, 在 发 送 数据 前 MAC 表 是 空 的 


如 图 4-1 所 示 ,在 所 有 的 主机 没有 发 送 数据 之 前 ,也 就 是 说 交换 机 刚 启动 时 MAC 地 
址 表 是 空 的 。 假 设 首先 由 主机 入 向 主机 D 发 送 数据 ,数据 帧 送 到 交换 机 接口 El 时 ,主机 
A 发 来 的 MAC 地 址 被 读 取 。 虽 然 这 时 表 是 空 的 ,但 是 交换 机 收 到 发 来 的 数据 帧 源 地 址 
后 ,会 建立 起 "El: 主机 A 的 MAC 地 址 (001485E282A1)” 的 映射 关系 ,存在 CAM 中 ,这 
种 方式 称 为 交换 机 的 学 习 功 能 。 而 对 于 数据 帧 目的 地 址 ,由 于 开始 表 中 没有 列 出 目的 
MAC 地 址 与 交换 机 接口 的 对 应 关系 ,尽管 是 发 向 主机 D 的 ,但 还 是 以 * 泛 洪 ” 的 方式 向 所 
有 的 接口 发 送 数据 帧 , 即 如 图 4-2 所 示 的 三 个 箭头 。 只 有 主机 D 接收 到 数据 帧 后 , 查 到 与 


MAC 地 址 表 
主机 A E1:001485E282A1 主机 C 


< 一” MAC 地址 : 


001485E282A3 
主机 D 


MAC 地 址 : 
001485E282A1 


主机 B 


MAC 地 址 : MAC 地 址 : 
001485E282A2 001485E282A4 


图 4-2 交换 机 从 A 发 送 的 数据 帧 读 取 源 MAC 地 址 ,接口 El 映射 到 MAC 地 址 表 
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目的 MAC 地 址 相 吻 合 , 接 收 数据 帧 ,其 他 两 个 目的 地 址 不 相符 ,将 数据 帧 丢弃 。 

主机 C 向 主机 B 发 送 数据 帧 的 情况 如 图 4-3 所 示 。 由 于 开始 时 MAC 表 中 没有 E3 
与 主机 C 的 MAC 地 址 的 对 应 关系 ,数据 帧 通过 交换 机 接口 E3 时 ,交换 机 根据 数据 帧 中 
的 源 MAC 地 址 确定 两 者 的 映射 关系 *E3: 主机 C 的 MAC 地 址 (001485E282A3)”。 而 
对 于 数据 接收 方 主机 B, 表 中 没有 它 的 MAC 地 址 与 对 应 交换 机 接口 的 映射 关系 ,主机 C 
只 好 以 * 泛 洪 ” 的 方式 向 其 他 主机 发 送 数据 帧 ,其 他 三 个 主机 中 只 有 数据 帧 中 目的 地 址 吻 
合 的 主机 B 接收 数据 ,其 他 两 个 将 数据 帧 丢弃 。 


MAC 地 址 表 
主机 A E1:001485E282A1 主机 C 
N E3:001485E282A3 < 
\] 
= <S 
MAC 地 址 : “入 ~、 了 MAC 地 址 : 
001485E282A1 Se 001485E282A3 


< 和 > 
MAC 地 址 : MAC 地址 : 
001485E282A2 001485E282A4 


图 4-3 交换 机 从 C 发 送 的 数据 帧 读 取 源 MAC 地 址 ,接口 E3 映射 到 MAC 地 址 表 


如 图 4-4 所 示 为 主机 B 向 主机 A 发 送 数据 时 的 情况 。 当 主机 也 向 主机 A 发 送 数据 
帧 时 , MAC 表 中 没有 E2 与 主机 B 的 MAC 地 址 的 对 应 关系 。 数 据 帧 通过 交换 机 接口 
E2 时 ,交换 机 根据 数据 帧 中 的 源 MAC 地 址 确定 两 者 的 映射 关系 *E2: 主机 也 的 MAC 地 
址 (001485E282A2)”。 而 对 于 数据 接收 方 主机 A, 表 中 已 经 有 了 它 的 MAC 地 址 与 对 应 
交换 机 接口 的 映射 关系 *El: 主机 A 的 MAC 地 址 (001485E282A1)”, 因 此 不 用 以 “ 泛 洪 ” 
的 方式 向 其 他 主机 发 送 数据 帧 ,根据 MAC 表 的 对 应 关系 将 数据 帧 转发 给 主机 A。 


MAC 地 址 表 


E1:001485E282A1 
主机 A E3:001485E282A3 主机 C 
E2:001485E282A2 


<S 
MAC 地 址 : 
001485E282A1 


MAC 地 址 : 
001485E282A3 


主机 D 


MAC 地 址 : MAC 地 址 : 
001485E282A2 001485E282A4 


图 4-4 接口 E2 映射 主机 B 到 MAC 地 址 表 , 并 根据 El 和 主机 A 的 映射 将 数据 帧 转发 到 A 


从 图 4-5 中 可 以 看 出 ,假设 主机 D 也 发 送 数据 帧 到 主机 C ,交换 机 接口 E4 也 在 MAC 
表 中 建立 了 “E4: 主机 D 的 MAC 地址 (001485E282A4)” 的 映射 关系 ,并 将 这 种 关系 保存 
在 CAM 中 。 


MAC 地 址 表 


二 E1:001485E282A1 本 

E 机 人 A E3:001485E282A3 主机 C 
E2:001485E282A2 
E4:001485E282A4 


< 
MAC 地 址 : 
001485E282A1 


-一 ”MAC 地址: 
001485E282A3 


MAC 地 址 ; MAC 地 址 : 
001485E282A2 001485E282A4 


图 4-5 接口 E4 映射 到 主机 D 到 MAC 地 址 表 , 并 根据 El 和 主机 A 的 映射 将 数据 帧 转发 到 C 


至 此 , 接 在 交换 机 4 个 接口 上 的 4 台 主 机 的 MAC 表 建 立 完 毕 , 即 交换 机 学 习 到 了 全 
部 4 台 主 机 的 MAC 地址。 同时 ,由 于 数据 帧 发 向 主机 C ,数据 帧 中 包括 接收 主机 C 的 目 
的 地 址 ,因为 已 经 存 有 映射 关系 “E3: 主机 C 的 MAC 地 址 (001485E282A3)” 在 MAC 地 
址 表 中 ,因此 在 交换 机 内 将 数据 送 到 E3 口 ,然后 转发 到 主机 C 的 MAC 地址。 一 旦 交换 
机 的 MAC 表 完 全 建立 起 来 ,就 可 以 实现 交换 机 的 基于 二 层 地 址 的 数据 帧 转发 /过 滤 。 当 
数据 帧 发 送 到 交换 机 时 , 它 的 目的 MAC 地 址 被 读 取 ,然后 在 MAC 地 址 表 中 查找 相应 的 
映射 关系 ,该 数据 帧 的 目的 地 址 对 应 在 数据 到 达 的 接口 ,向 此 接口 转发 ,这 就 是 交换 机 的 
数据 帧 转发 功能 。 另 外 , 当 数 据 帧 进入 交换 机 后 ,车 其 目的 地 址 在 已 经 完全 建立 好 的 
MAC 地 址 表 中 没有 确定 的 接口 对 应 ,或 者 该 数据 帧 的 目的 地 址 连接 的 接口 就 是 收 到 该 
数据 帧 的 那个 接口 , 即 发 送 了 本 地 帧 , 则 该 数据 帧 被 忽略 ,该 帧 不 会 被 转发 ,这 称 为 交换 机 
的 过 滤 功 能 。 

4.1.2 交换 机 的 配置 环境 

对 于 普通 用 户 而 言 ,交换 机 好 像 没什么 神秘 的 ,尤其 是 对 于 小 型 的 简单 局 域 网 ,所 使 
用 的 交换 机 都 是 接 到 桌面 的 非 网 管 型 交换 机 ,根本 不 需要 任何 配置 ,只 需 将 交换 机 接口 接 
到 PC 或 其 他 类 型 主机 的 网 卡 上 就 可 以 连接 网 络 。 这 类 交换 机 使 用 起 来 简单 实用 ,一 般 
称 之 为 “傻瓜 "交换 机 ,它们 与 集线器 一 样 , 接 上 电源 , 插 好 网 线 就 可 以 正常 工作 。 但 是 这 
种 交换 机 只 适用 于 构造 简单 的 网 络 , 对 于 中 型 或 大 型 的 复杂 网 络 ,特别 是 需要 接 人 
Internet 的 网 络 , “傻瓜” 交换 机 根本 不 能 满足 实际 应 用 的 需要 。 作 为 一 个 网 络 管理 员 , 应 
该 能 够 对 中 高 端 交换 机 进行 合理 的 配置 ,至 少 应 对 其 配置 理论 和 方法 有 所 了 解 。 这 不 仅 
是 对 绝 大 多 数 网 管 人 员 的 基本 要 求 , 也 是 衡量 网 络 管理 水 平 高 低 的 一 个 重要 标志 。 

对 于 一 个 中 型 或 大 型 网 络 来 说 ,因为 关键 环节 使 用 的 交换 机 档次 比较 高 ,特别 是 核心 
交换 机 或 汇聚 交换 机 必须 根据 整体 网 络 的 实际 情况 通盘 考虑 ,除了 考虑 网 络 的 使 用 功能 ， 
还 要 考虑 管理 功能 ,所 以 必须 对 这 类 交换 机 进行 基于 网 络 管理 的 配置 ,这 种 交换 机 称 为 可 
网 管 交换 机 或 网 管 型 交换 机 。 大 多 数 可 网 管 交 换 机 的 详细 配置 过 程 比较 复杂 ,具体 的 配 
置 方法 因 不 同 品牌 .不 同系 列 的 交换 机 而 有 所 不 同 , 而 且 交换 机 档次 越 高 配置 就 越 复杂 ， 
当然 它 的 功能 也 越 强 。 由 于 交换 机 的 配置 内 容 很 多 ,技术 也 比较 复杂 ,这 里 不 可 能 涉及 太 
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深 的 内 容 ,本 章 将 主要 介绍 一 些 基本 理论 和 基本 的 配置 方法 。 通 常 对 网 管 型 交换 机 进行 
配置 必须 通过 计算 机 和 交换 机 相连 ,保证 两 者 之 间 能 够 进行 正常 的 通信 。 实 现 配 置 可 以 
通过 两 种 方法 进行 ,一 种 是 本 地 配置 , 即 通过 连接 线 与 交换 机 直接 连接 实现 配置 , 另 一 种 
是 通过 网 络 远程 对 交换 机 进行 配置 。 应 该 注意 的 是 本 地 配置 是 最 基本 的 ,而 且 后 一 种 配 
置 方法 只 有 在 前 一 种 配置 成 功 后 才 可 进行 ,下 面 分 别 进行 介绍 。 


1. 本 地 配置 方式 

本 地 配置 是 指 在 交换 机 连接 后 对 交换 机 进行 配置 ,因为 交换 机 本 身 没 有 键盘 也 没有 
显示 器 ,必须 借助 于 计算 机 与 它 接 好 后 才能 配置 。 首 先 遇 到 的 问题 是 要 怎样 实现 物理 连 
接 , 也 就 是 先 将 计算 机 与 交换 机 连接 起 来 ,然后 再 利用 软件 对 交换 机 的 运行 状态 进行 配 
置 。 在 软件 配置 方面 ,由 于 不 同 公司 的 产品 配置 的 系统 软件 各 有 不 同 ,但 思科 公司 
(CISCO) 的 IOS 是 主流 网 络 管理 系统 软件 ,所 以 本 书 以 最 常见 的 思科 的 Catalyst 2950 系 
列 交换 机 为 例 进行 讲述 。 下 面 分 两 步 来 说 明 配置 的 基本 过 程 。 

(1) 物理 连接 

理论 上 ,用 任何 一 台 计算 机 都 可 以 实现 与 交换 机 的 物理 连接 ,但 是 因为 笔记 本 计算 机 
现在 普及 性 很 高 ,因此 配置 交换 机 通常 采用 笔记 本 计算 机 进行 ,用 PC 也 没有 问题 ,只 是 
不 太 方便 。 交 换 机 背面 (有 的 交换 机 放 在 前 面 ) 有 一 个 标记 为 Console 的 接口 , 它 专门 用 
于 对 交换 机 进行 配置 和 管理 ,因此 只 有 网 管 型 交换 机 才 有 。 通 过 Console 接口 连接 并 配 
置 交换 机 ,是 配置 和 管理 交换 机 必须 进行 的 操作 。 虽 然 除 此 之 外 还 有 其 他 若干 种 配置 和 
管理 交换 机 的 方式 (如 Web 方式 .Telnet 方式 等 ) ,但 是 这 些 方式 必须 依靠 通过 Console 
接口 进行 基本 配置 后 才能 进行 。 通 过 Console 接口 连接 并 配置 交换 机 是 最 常用 、 最 基本 
的 ,也 是 网 络 管理 员 必 须 掌握 的 管理 和 配置 方式 。 

应 该 注意 的 是 不 同 交 换 机 的 Console 接口 的 类 型 有 所 不 同 , 绝 大 多 数 都 采用 RJ-45 
接口 ,但 也 有 少数 交换 机 采用 DB-9 或 DB-25 串口 接口 。 无 论 交 换 机 采用 DB-9 或 DB-25 
串 行 接口 ,还 是 采用 RJ-45 接口 ,都 需要 通过 专门 的 Console 线 连 接 至 配置 用 计算 机 ( 通 
常 称 作 终端 ) 的 串 行 口 。 与 交换 机 不 同 的 Console 接口 相对 应 ,Console 线 也 分 为 两 种 。 
一 种 是 串 行 线 , 即 两 端 均 为 串 行 接口 ,两 端 可 以 分 别 插入 到 计算 机 的 串口 和 交换 机 的 
Console 接口 。 另 一 种 是 两 端 均 为 RJ-45 接头 (RJ-45 to RJ-45) 的 扁平 线 。 由 于 扁平 线 两 
端 均 为 RJ-45 接口 ,无 法 直接 与 计算 机 串口 进行 连接 ,因此 ,还 必须 同时 使 用 一 个 RJ-45 
to DB-9( 或 RJ-45 to DB-25) 的 适配器 。 通 常情 况 下 ,在 交换 机 的 包装 箱 中 会 随机 赠送 一 
条 Console 线 和 相应 的 DB-9 或 DB-25 适配器 。 

通过 Console 线 将 交换 机 与 笔记 本 电脑 的 串 行 口 相连 的 方式 如 图 4-6 所 示 。 


(2) 软件 配置 

物理 连接 完成 后 即 可 打开 计算 机 和 交换 机 交换 机 的 
电源 进行 软件 配置 ,下 面 以 CISCO 的 一 款 常用 Console 端 口 
的 网 管 型 交换 机 Catalyst 2950 为 例 简 述 配 置 过 
程 ,以 常见 的 Windows XP 操作 系统 为 例 说 明 ， 图 4.6 利用 Console 线 将 笔记 本 


一 定 要 确保 系统 中 装 有 "超级 终端 ?组 件 ,否则 必 电脑 与 交换 机 相连 


须 添加 。 步 骤 如 下 : 
QO 计算 机 启动 后 , 单 击 “ 开 始 ” 一 “所 有 程序 ” 盖 附件 ”一 “通讯 "一 “超级 终端 ?命令 。 
Q@ 超级 终端 启动 后 的 对 话 框 如 图 4-7 所 示 , 要 为 建立 的 连接 起 个 名 字 , 如 
CISCO 2950。 
@ 选择 Console 连接 到 计算 机 上 的 接口 ,一 般 是 COM1 串口 ,如 图 4-8 所 示 。 


SS Cisco2950 


输入 名 称 并 为 该 连接 选择 图 标 : 输入 待 拔 电话 的 详细 信息 : 


EL 国家 全 区 ) C): | 中 华人 人 民 共和 国 [56] 
ICisco2950 


图 标号 ): [5 四 


EECTIEE 二 


Ele) a 这 按时 使用 QD 。 [TTB 
[mE Tm | EE [mm | 


图 4-7 “连接 描述 "对 话 框 图 4-8 计算 机 通信 接口 的 选择 


@ 在 COMI1 属性 设置 窗口 中 对 连接 的 参数 进行 配置 。 一 般 正常 连接 的 交换 机 应 该 
采用 每 秒 位 数 9600 ,数据 位 为 8, 奇偶 校 验 是 无 ,停止 位 是 1, 数 据 流 控制 是 硬件 。 如 果 通 
信 正 常会 在 超级 终端 打开 如 图 4-9 所 示 的 主 配置 窗口 ,并 会 在 这 个 窗口 中 显示 交换 机 的 
初始 配置 情况 。 进 入 该 环境 后 就 可 以 对 连接 的 交换 机 进行 配置 ,具体 的 配置 方法 后 面 会 
详细 讲解 。 

# Cisco2950 - 超级 终端 


文件 四 编辑 下 ) 查看 Q 呼叫 人) 传送 0) 帮助 0D) 
DD 世人 沼 5 友 斩 人 名 


Catalyst 2950 Management Console 

Copyright (c) Cisco Systems, Inc.1993-1999 
All rights reserved 

Standard Edition Software 

Ethemet add1ess: 00-E0-1E-TE-B4 4 

PCA Number. 73-2239.01 

PCA Serial Number. SADO1200001 

Model Number: WS-C1924-A 

System Serial Number: FAAD1200001 


1 usexs) now active on Management Console 
User Interface Mem 
[MI Menus 
[1 IPConfiguation 
[Console Password 
Enter Selection 


图 4-9 主 配 置 窗口 
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2. 网 络 远程 配置 方式 


前 面 介绍 过 ,除了 通过 交换 机 的 Console 接口 与 计算 机 直接 连接 外 ,还 可 以 通过 交换 
机 的 普通 接口 如 RJ-45 接口 进行 连接 。 在 计算 机 网 络 日 益 普 及 的 今天 ,通过 网 络 远程 对 
交换 机 进行 配置 可 能 是 更 为 常用 的 手段 。 这 时 要 通过 普通 的 网 络 接口 对 交换 机 进行 管 
理 , 以 Telnet 或 Web 浏览 器 的 方式 实现 与 被 管理 交换 机 的 通信 。 在 前 面 的 本 地 配置 方 
式 中 已 经 为 交换 机 配置 好 了 IP 地 址 ,可 通过 IP 地 址 与 交换 机 进行 通信 ,完成 配置 。 同 样 
要 注意 的 是 ,只 有 网 管 型 交换 机 才 具 有 这 种 管理 功能 。 远 程 配 置 方 式 可 以 通过 以 下 两 种 
不 同 的 方式 来 实现 。 

(1) Telnet 方式 

Telnet 协议 是 一 种 远程 访问 协议 ,可 以 利用 它 登录 到 远程 计算 机 或 网 络 设备 。 
Windows XP 内 部 已 装 有 Telnet 客户 端 程序 ,可 以 用 它 来 实现 与 远程 交换 机 的 通信 。 

在 使 用 Telnet 连接 至 交换 机 之 前 ,应 做 好 一 些 准备 工作 。 

Q@ 管理 用 的 计算 机 支持 TCP/IP 协议 ,网 络 通畅 并 且 已 配置 好 IP 地 址 。 

@ 在 被 管理 的 交换 机 上 已 经 配置 好 IP 地 址 ,允许 提供 Telnet 服务 。 如 果 还 没有 配 
置 IP 地 址 信息 , 则 必须 通过 Console 接口 进行 设置 。 

@ 在 被 管理 的 交换 机 上 建立 具有 管理 权限 的 用 户 账 户 , 并 且 设 置 线路 (line) 的 登录 
密码 ,这 是 远程 管理 所 必须 的 ,以 保证 网 管 的 安全 。 

在 计算 机 上 运行 Telnet 客户 端 程序 ,并 登录 至 远程 交换 机 。 有 两 种 方法 实现 登录 ， 
第 一 种 是 计算 机 启动 后 , 单 击 * 开 始 ” 一 “运行 ” 
命令 ,弹出 如 图 4-10 所 示 的 “运行 ”对话 框 ,在 


“打开 ”文本 框 中 输入 telnet 主机 IP 地 址 (图 示 ”| 如 溃 人 5 放 着 宝 和 

为 202. 101. 68. 132)。 打开 O): [rT 国 
如 果 能 够 连通 交换 机 , 则 进入 命令 行 环境 

的 交换 机 主机 名 ,然后 输入 密码 , 即 可 进入 配置 ED 

状态 。 图 4-10 “运行 ”对话 框 


第 二 种 方法 是 单 击 “ 开 始 ” 一 “所 有 程序 ”一 
“附件 ”一 “命令 提示 符 ” 命 令 , 进 入 命令 行 环境 ,直接 输入 telnet 主机 IP 地 址 即 可 进入 交 
换 机 的 管理 配置 状态 ,当然 要 确定 交换 机 的 管理 员 的 用 户 名 和 密码 才能 够 进入 。 

Telnet 命令 的 一 般 格式 如 下 : 


Telnet Hostname Port 


Hostname 是 指 交换 机 的 主机 名 ,但 是 因为 交换 机 已 配置 了 IP 地 址 ,所 以 更 多 的 是 
直接 输入 交换 机 的 IP 地 址 。 格 式 后 面 的 Port 是 指 Telnet 通信 所 用 的 端口 号 ,对 于 
Telnet 通信 端口 ,在 TCP/IP 协议 中 规定 默认 为 23 号 端口 。 可 以 不 输入 端口 号 ,但 是 被 
连接 的 交换 机 的 23 号 端口 必须 处 于 打开 状态 ,否则 不 能 实现 远程 配置 。 

输入 完 后 , 单 击 “ 确 定 ” 按 钮 或 按 Enter 键 ,建立 与 远程 交换 机 的 连接 。 如 图 4-11 所 
示 为 计算 机 通过 Telnet 与 2950 交换 机 建立 连接 时 显示 的 界面 。 

在 图 4-11 中 显示 包括 两 个 菜单 项 的 配置 菜单 : Menus、Command Line, 然 后 就 可 以 
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Telnet 211.35.23.1 


sf0 System. Inc. 1993-1999 


Enterprise Edition Software 
Ethernet Address: 08-90-2B-S6-E9-80 


PCA Number: 
PCA Serial Number: 


3 user <s> now active on Management Console. 


User Interface Menu 
[M] Menus 
[C] Command Line 


Enter Selection: 


图 4-11 Telnet 连接 成 功 


根据 实际 需要 对 该 交换 机 进行 相应 的 配置 和 管理 

(2) Web 浏览 器 方式 

当 利 用 Console 接口 为 交换 机 设置 好 IP 地 址 信息 并 启用 HTTP 服务 后 , 即 可 通过 
Web 浏览 器 访问 交换 机 ,并 可 通过 Web 浏览 器 配置 和 修改 交换 机 的 各 种 参数 ,对 交换 机 
进行 管理 。 但 是 一 般 网 管 员 很 少 使 用 这 种 方法 ,因为 它 需 要 的 配置 环境 较 高 ,而 且 要 预先 
在 交换 机 内 做 允许 HTTP 的 设置 。 况 且 大 多 数 网 管 员 的 命令 行 操作 都 比较 熟练 , Web 
浏览 器 方式 就 显得 不 太 重 要 了 。 但 是 ,通过 Web 界面 ,可 以 利用 更 为 方便 的 应 用 界面 对 
交换 机 的 许多 重要 参数 进行 修改 和 设置 ,并 可 实时 查看 交换 机 的 运行 状态 。 相 对 于 命令 
行 管理 ,这 种 方式 显然 要 更 加 友好 ,还 减少 了 许多 IOS 命令 的 使 用 ,这 也 是 目前 许多 产品 
的 管理 方式 之 一 。 不 过 在 利用 Web 浏览 器 访问 和 管理 交换 机 之 前 ,除了 Telnet 
需要 的 条 件 之 外 ,还 应 当做 好 以 下 准备 工作 。 
@ 被 管理 交换 机 的 网 络 管理 操作 系统 (一 般 为 IOS) 支 持 HTTP 服务 ,并 启用 
HTTP 服务 。 和 否则 ,应 通过 Console 接口 升级 网 络 管理 操作 系统 版 本 并 启用 HTTP 


2 用 于 管理 的 计算 机 的 Web 浏览 器 应 对 交换 机 的 Web 管理 有 良好 的 响应 和 支持 ， 
应 采用 较 高 的 浏览 器 版 本 ,如 Internet Explorer 6.0 及 以 上 版 本 。 

通过 Web 浏览 器 方式 进行 配置 的 方法 如 下 

@ 通过 网 络 将 管理 计算 机 连接 到 被 管理 交换 机 的 一 个 普通 接口 上 ,在 计算 机 上 运行 
Web 浏览 器 。 在 浏览 器 的 地 址 栏 中 输入 被 管理 交换 机 的 IP 地 址 (如 202. 101. 68. 132) 或 
为 其 指定 的 名 称 , 按 回 车 键 , 进 入 登录 界面 ,输入 用 户 名 和 密码 。 

@ 单 击 “确定 ”按钮 , 即 可 建立 与 被 管理 交换 机 的 连接 ,在 Web 浏览 器 中 显示 交换 机 
的 管理 界面 。 接 下 来 .就 可 以 通过 管理 界面 中 的 提示 一步 步 查看 交换 机 的 各 种 参数 和 运 
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行 状态 ,并 可 根据 需要 对 交换 机 的 某 些 参数 做 必要 的 修改 。 

目前 不 少 交换 机 厂家 都 配 有 非常 好 的 Web 管理 界面 ,但 是 为 了 提高 安全 程度 ,有 时 
需要 HTTPS 协议 的 支持 。 应 该 指出 的 是 ,通过 本 地 直接 对 交换 机 进行 配置 和 管理 ,并 且 
熟练 掌握 交换 机 操作 系统 (IOS) 的 命令 行 (CLI) 方 式 实现 对 交换 机 的 复杂 管理 ,是 网 络 管 
理 员 应 该 掌握 的 基本 功 。 


4.1.3 交换 机 配置 时 的 常用 命令 


1. 交换 机 的 启动 

交换 机 中 有 4 种 重要 的 存储 器 ,分 别 是 ROM.FLASH,RAM,NVRAM。 其 中 RAM 
会 随 着 交换 机 的 断 电 或 重新 启动 使 内 存 中 的 数据 丢失 .类似 于 计算 机 中 所 谓 的 内 存 , 它 主 
要 存放 于 正在 运行 的 交换 机 配置 ,其 他 几 种 存储 器 是 非 易 失 性 的 ,不 会 随 断 电 而 丢失 数 
据 。ROM 保存 交换 机 的 引导 或 启动 软件 , 它 是 交换 机 运行 的 第 一 个 软件 ,让 交换 机 进入 
正常 的 工作 状态 ,主要 保存 了 加 电 自 检 程 序 , 供 交 换 机 启动 时 用 ,保存 了 Mini IOS, 当 设 
备 没 有 IOS 时 使 用 ,还 保存 了 对 硬件 操作 的 机 器 语言 代码 。FLASH 用 于 保存 IOS 软件 ， 
它 可 以 维持 交换 机 的 正常 工作 。NVRAM 用 于 保存 交换 机 的 启动 配置 数据 , 即 常 说 的 启 
动 配置 或 备份 配置 。 当 交换 机 加 电 启动 时 ,首先 寻找 和 执行 的 就 是 这 个 配置 ,如 果 该 配置 
存在 ,交换 机 启动 后 就 成 为 运行 配置 。 当 修改 运行 配置 并 执行 存储 后 ,运行 配置 被 复制 到 
NVRAM 中 ,当下 一 次 交换 机 加 电 后 该 配置 会 被 自动 调用 。 

在 交换 机 启动 之 前 ,首先 要 检查 交换 机 的 各 种 连 线 和 插头 是 否 完整 及 连接 是 否 正确 。 
大 部 分 交换 机 接口 是 支持 热 插 拔 的 ,如 RJ-45 接口 ,但 也 要 注意 某 些 不 支持 热 插 拔 的 接口 
不 能 随意 插 拔 ,如 某 些 管线 模块 插头 。 在 检查 完 交 换 机 连 线 正确 后 ,可 以 将 电源 线 接 和 人 交 
换 机 并 接 通电 源 ,交换 机 就 可 以 启动 了 。 这 是 对 中 低档 交换 机 而 言 ,因为 面板 上 没有 专门 
的 开关 ,但 是 高 档 的 交换 机 面板 上 有 专门 的 电源 开关 。 

交换 机 启动 时 ,各 种 状态 指示 灯会 不 停 地 闪烁 ,这 是 交换 机 在 进行 开机 自 检 。 自 检 完 
成 后 ,交换 机 的 各 接口 指示 灯会 依据 接口 是 否 处 于 使 用 状态 亮 或 灭 。 绿 色 指示 灯亮 表示 
接口 或 模块 正常 工作 ,如 果 指 示 灯 呈 橘 黄色 ,表示 接口 或 模块 硬件 有 问题 。 当 发 生 严重 故 
障 时 ,指示 灯 为 红色 。 


2. 交换 机 的 基本 命令 

网 管 的 交换 机 自身 带 有 操作 系统 ,比如 著名 的 CISCO 公司 的 网 络 设备 的 基本 操作 系 
统 为 IOS ,当然 不 同型 号 的 设备 的 IOS 内 容 略 有 不 同 , 而 三 层 交 换 机 的 IOS 更 具有 路 由 
功能 的 命令 。 用 户 命令 行 (CLI 方 式 ) 管 理 交 换 机 是 最 基本 的 管理 模式 , 它 的 基本 模式 有 
两 种 : 用 户 模式 (也 叫做 用 户 EXEC 模式 ) .特权 模式 (也 叫做 特权 EXEC 模式 ) 。 

(1) 用 户 模式 

交换 机 启动 完成 后 ,进入 用 户 模 式 , 如 果 交 换 机 名 为 Switch ,那么 进入 用 户 模式 后 的 
命令 行 提示 符 为 Switch 之 。 在 这 种 模式 下 ,用 户 权 限 级 别 较 低 ,只 能 对 设备 运行 情况 做 
一 些 基 本 的 检查 ,进行 有 限 的 命令 操作 ,如 ping 其 他 的 网 络 设备 ,不 能 够 对 设备 进行 配置 
和 管理 。 


~、 


(2) 特权 模式 
从 用 户 模式 到 特权 模式 的 操作 命令 如 下 : 


Switch> enable 


进入 特权 模式 的 格式 如 下 : 


Switch# 


如 果 设 备 上 配 有 enable 密码 ,必须 通过 密码 验证 才能 够 进入 特权 模式 。 特 权 模 式 除 
了 用 户 模式 下 拥有 的 权限 之 外 ,还 拥有 设备 配置 、 修 改 配 置 的 权限 。 在 特权 模式 下 ,又 分 


为 VLAN Database 模式 


(vlan) # 和 全 局 配置 模式 


式 又 分 为 4 种子 模式 ,它们 的 总 体 模式 结构 如 图 4-12 所 示 。 


CLl 


广 一 用 户 EXEC 模式 Switch> 


-一 特权 EXEC 模式 Swithch# 


| 一 一 VLAN Database 模 式 (vlan)#: 创 建 、 修 改 、 删 除 VLAN 
-一 一 全 局 配置 模式 (config)#: 对 设备 的 全 局 参数 进行 配置 
上 一 接口 配置 模式 (config-i 询 上 ## 对 设备 端口 包括 交换 机 端口 进行 配置 


一 一 路 由 协议 配置 模式 (config-router)#: 用 于 三 层 交 换 机 ， 配 置 路 E 


图 4-12 不 同 层次 的 配置 模式 


(Cconfig) # ,其 中 全 局 配置 模 


一 一 线路 配置 模式 (config-line)#: 对 Console 接 口 、 虚 拟 终端 接口 、AUX 接口 等 进行 配置 


一 一 VLAN 配置 模式 (config-vlan)#: 配 置 VLAN ， 功 能 与 VLAN Database 模 式 相同 


VLAN Database 模式 主要 用 于 虚拟 局 域 网 (Virtual Local Area Network,VLAN) 的 
配置 ,构建 和 管理 ,这 是 交换 机 独 有 的 一 种 模式 。 表 4-1 中 列 出 了 简单 描述 所 有 模式 的 操 


作 和 用 途 。 
表 4-1 CLI 命 令 在 不 同 模式 下 改变 状态 的 命令 
模 式 进入 模式 的 方法 提 示 符 退出 方法 用 途 
.| 对 设备 进行 基 
用 户 模式 ”| 开始 一 个 进程 Switch> 输入 logout 或 quit，| 本 检测 ,显示 系 
退出 设备 和 
统 信 息 
在 用 户 模式 中 输入 i a 输入 该 命令 后 ， 
特权 模式 ”| enable 命令, 并 按 | Switch# mt 可 以 对 设备 进 
Enter 键 行 配置 
在 特权 模式 下 输入 : 可 以 对 整个 交 
输入 exit 或 end 或 可 
Conf t, 并 按 Enter 区 和 换 机 进行 配置 、 
全 局 模式 键 ( 注 ; 这 是 简化 命 Switch(config)# pt 管理 并 对 配置 
3 进行 修改 
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续 表 
模 式 进入 模式 的 方法 提 示 符 退出 方法 用 途 
对 菜 个 具体 | 在 全 局 模式 下 输入 ,| 、 (eonti | 入 信守 分 匀 | 入 他 
VLAN 配置 | vlan wan ID 号 ,并 Switc config- 式 ; tol 二 ZZ vlan 作 配 置 ， 
模式 按 下 键 vlan) 井 或 输入 end, 返 回 特 | 于 vlan 局 部 设 
es 权 模式 置 状 态 
对 交换 机 整体 
在 特权 模式 下 输入 : Tp 的 VLAN 进行 
Nee 配置 vlan daltabase, 并 按 | Switch(vlan)# jn exit, 返 回 特权 配置 和 管理 ,可 
Enter 键 设置 交换 机 的 
全 局 参数 
在 全 局 模式 下 输入 : 输入 exit, 返 回 全 局 1 
交换 机 接口 | Interfaces 厅 禾 接 口 | Switch ( config- | 模式 ; 按 Ctrl 十 Z 键 人 站 2 
配置 类 型 笑 往 尽 / 拨 护短 | iD) 井 或 输入 end, 返 回 特 接口 配置 参数 
多 权 模 式 
输入 exit, 返 回 全 局 所 
线路 配置 在 全 局 模式 下 输入 ; Switch (〈 config- | 模式 ; 按 Ctrl 十 Z 键 对 enoo Hs 
模式 line 语 和 比 接 品类 型 line)## 或 输入 end, 返回 特 虚拟 终端 .AUX 
扬 稻 皇 / 授 吕 篇 瑟 ”| 如 十 全 ” ”| 接口 等 配置 
权 模 式 
输入 exit, 返 回 全 局 
路 由 配置 模 ; 
i 在 全 局 模式 下 输入 : | Switch 〈 config- | 模式 ; 按 Ctrl 十 Z 键 ph i 
式 (三 层 交 换 Router 太 以 router) 井 或 输入 end, 返 回 特 配置 路 由 协议 
机 才 有 ) 权 模式 


3. 交换 机 的 其 他 基本 配置 


除了 上 述 交换 机 的 配置 命令 外 ,还 有 几 种 类 型 的 命令 见 表 4-2。 
表 4-2 其 他 的 10S 配置 命令 


显示 命令 
任 务 命令 
查看 版 本 及 引导 信息 show version 
查看 运行 信息 show running-config 
查看 开机 设置 show startup-config 
显示 接口 信息 show interface 接口 类 型 插 槽 号 /接口 号 
显示 路 由 信息 show ip router 
网 络 命令 
任务 命 ” 令 
登录 远程 主机 telnet 主机 名 或 主机 IP 地 址 
网 络 通 否 检测 ping 主机 名 或 主机 IP 地 址 


路 由 跟踪 


trace 主机 名 或 主机 IP 地 址 


和 ~、 
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基本 设置 命令 
任 务 命令 
全 局 设置 config terminal 或 conf t 
设置 访问 用 户 及 密码 username 用 户 名 password 用 户 密码 
设置 特权 密码 enable secret 用 户 密 码 
设置 交换 机 名 hostname 交换 机 名 
设置 静态 路 由 (三 层 交 换 机 用 ) ip route 目标 地 址 子 网 掩 码 下 一 跳 地 址 
设置 IP 地址 ip address IP 地 址 子 网 掩 码 
激活 接口 no shutdown 
系统 配置 文件 备份 
保存 配置 文件 到 NVRAM Copy run start( 或 write memory ) 
将 配置 文件 从 NVRAM 调 入 内 存 Copy start run (或 config memory) 


4.2 交换 机 的 配置 和 管理 实例 


交换 机 根据 网 络 类 型 分 为 很 多 种 ,但 由 于 目前 构造 局 域 网 使 用 最 多 的 是 以 太 网 ,所 以 
本 书 中 提 到 的 都 是 以 太 网 交换 机 ,包括 以 太 网 、 快 速 以 太 网 、 吉 比特 以 太 网 和 10Gbps 以 
太 网 。 为 了 表述 方便 ,统称 为 以 太 网 交换 机 。 交 换 机 的 配置 和 管理 与 路 由 器 配置 防火墙 
配置 .服务 器 配置 等 一 样 ,都 是 网 络 管理 员 日 常 工作 中 必 不 可 少 的 重要 内 容 。 一 个 网 络 系 
统 工作 状态 的 好 坏 ,交换 机 的 工作 状态 是 最 重要 的 因素 之 一 。 在 简单 的 局 域 网 中 , 低 端的 
“傻瓜 "交换 机 就 能 实现 简单 的 网 络 构成 。 但 是 ,对 于 复杂 的 大 型 网 络 , 就 必须 配置 可 网 管 
的 交换 机 ,包括 二 层 和 三 层 甚至 三 层 以 上 的 交换 机 。 为 了 便于 理解 ,下 面 通过 对 CISCO 
交换 机 的 配置 介绍 常见 的 交换 机 配置 方法 。 

例 4-1 配置 接口 速率 和 全 双 工 模式 ( 注 : 符号 // 后 面 是 对 命令 含义 的 解释 ) 。 

假设 交换 机 的 某 个 接口 位 于 0 号 插 槽 的 第 5 个 接口 ,为 10Mbps/100Mbps 的 以 太 网 
接口 ,如果 想 让 此 接口 的 工作 速率 为 100Mbps',' 全 双 工 模式 ,配置 方式 如 下 : 


Switch# conf 七 // 进 入 全 局 配置 模式 

Switch (config)# interface fastethernet 0/5 // 进 入 对 接口 0/5 的 配置 

Switch (config- if)# speed 100 // 将 接口 0/5 的 工作 速率 配置 为 100Mbps 
Switch (config- if)# duplex full // 设 置 全 双 工 模式 

Switch (config- if)# end // 返 回 特权 模式 

Switch# copy run start 

或 者 


Switch# write // 将 配置 保存 到 NVRAM 
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特别 要 指出 的 是 ,CISCO 的 IOS 支持 命令 和 参数 的 简写 输入 ,无 论 是 路 由 器 还 是 交 
换 机 都 是 如 此 。 它 会 将 命令 的 前 几 个 字母 默认 为 是 这 个 命令 本 身 ,如 例 6-1 中 将 conf 默 
认为 config, 将 t+ 默认 为 terminal ,前 提 是 只 要 没有 重复 的 相同 字母 的 命令 ,或 者 有 相同 的 
字母 但 对 应 的 情况 不 可 能 发 生 。 如 果 有 两 个 以 上 相同 字母 的 命令 ,依次 向 后 输入 ,直到 不 
重复 为 止 。 比 如 login 和 logout 两 个 命令 , 当 输 入 到 log 时 IOS 不 能 确定 采用 哪个 命令 ， 
接着 往 下 输 ,到 o 字母 时 ,IOS 就 会 自动 默认 为 logout 命令 。 这 个 功能 可 以 大 大 提高 网 
管 员 输入 命令 的 效率 。 

另外 要 注意 的 是 ,无 论 是 路 由 器 配置 还 是 交换 机 配置 ,都 要 以 copy run start 或 者 
write 命令 结束 ,否则 不 能 保存 在 NVRAM 中 ,机 器 重新 启动 后 配置 将 丢失 。 

例 4-2 对 交换 机 的 几 个 基本 配置 。 

交换 机 初始 时 默认 的 主机 名 为 Switch, 在 网 络 中 实际 应 用 时 有 时 会 根据 需要 更 换 其 
名 称 。 现 在 要 求 将 交换 机 名 称 更 换 为 SwitchA, 并 将 1 号 千 兆 以 太 网 插 槽 的 第 3 个 接口 
配置 IP 地 址 为 192. 168. 1.2, 交 换 机 的 默认 网 关 为 192. 168. 1. 1 , 子 网 掩 码 为 255. 255. 
255.0, 为 交换 机 配置 密码 以 及 两 者 Console 线 进 入 交换 机 的 密码 。 具 体 配置 如 下 ， 


Switch> enable // 进 入 特权 模式 

Switch# conf 七 // 进 入 全 局 配置 模式 

Switch (config)# hostname SwitchR // 将 交换 机 名 称 由 Switch 改 为 SwitchR 

SwitchR (config)# interface gigabitethernet 1/3 // 进 入 对 接口 gigabitethernet 1/3 的 
配置 

SwitchA (config- if)#no switchport // 将 此 接口 的 交换 机 接口 功能 取消 , 变 为 
路 由 器 接口 (三 层 ) 

Switch (config- if)#ip address 192.168.1.2 255.255.255.0 // 给 接口 配置 TP 地 址 

Switch (config- if)# no shutdown // 将 接口 激活 

Switch (config- if)#end // 返 回 特权 模式 

Switch (config)# ip default- gateway 192.168.1.1 ”// 设 定 交 换 机 的 默认 网 关 

Switch# copy run start // 将 当前 配置 保存 到 NVRAM, 作 为 今后 交换 
机 运行 的 基本 配置 


上 述 内 容 的 含义 是 ,由 用 户 模 式 进入 特权 模式 ,然后 进入 全 局 模式 对 交换 机 进行 配 
置 。 先 将 交换 机 名 称 改 为 SwitchA ,然后 进入 第 一 个 插 槽 的 第 三 个 千 兆 以 太 接 口 ,对 此 接 
口 配置 。no switchport 命令 将 此 接口 由 二 层 接 口 升 级 为 三 层 接口 ,接着 为 这 个 接口 配置 
IP 地 址 为 192. 168. 1. 2 , 子 网 掩 码 为 255. 255. 255.0。no shutdown 命令 将 此 接口 打开 启 
用 ,默认 网 关 为 192. 168. 1. 1, 到 此 配置 完毕 。 

例 4-3 几 个 常见 的 显示 配置 的 命令 。 现 在 以 CISCO 的 4506 交换 机 为 例 ,说 明 已 经 
配置 好 的 交换 机 的 各 种 内 容 如 何 显示 。 

* 显示 交换 机 当前 运行 状态 的 命令 为 show running- config 

Switch# sh ru 

Building configuration... 


Current configuration : 11245 bytes 
! 


- 
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Version 12.1 

no service pad 

service timestamps debug uptime 
service timestamps log uptime 

// 为 log 和 debug 设 置 时 间 截 

no service password- encryption 
service compress- config 

// 没 有 对 服务 加 密 , 服 务 压缩 配置 

! 

hostname 4506 

// 主 机 名 

! 

boot system flash bootflash:cat4000- i9s-mz.121- 19.EW] .bin 
logging monitor informational 

// 引 导 系 统 版 本 号 ,登录 时 有 信息 监视 
! 

ip subnet-zero 

ip dhcp relay information trust-all 
// 允 许 IP 零 子 网 ,支持 DHcP 中 继 


! 


interface GigabitEthernet2/1 
switchport trunk encapsulation dotlq 
switchport mode trunk 
// 千 兆 端口 6i2/1 做 了 dotlq 封 装 ,此 端口 用 作 王道 通道 


interface FastEthernet3/3 
Switchport access vlan 10 
Switchport mode access 
// 快 速 以 太 网 端口 Fa3/3 并 入 VIAN10, 采 用 端口 访问 模式 


interface GigabitEthernet4/15 
switchport trunk encapsulation dotlq 
switchport mode trunk 
// 千 兆 端口 6i4/15 做 了 dot1iq 封 装 ,此 端口 用 作 干 道 通 道 


access- list 120 permit tcp any any eq 8080 
access- list 120 permit tcp any any eq 6501 
// 访 问 控制 列表 号 120, 含 义 后 面 介绍 


snmp- server community public RO 

snmp- server community hhxy!@ #RW 

snmp- server enable traps vlan- membership 

// 支 持 SNMP 的 用 于 网 络 管理 时 的 共同 体 号 和 VIAN 成员 


1 


line con 0 


password CISCO 

login 

//console 口 登录 的 密码 
line vty0 4 

privilege level 15 
password ffffff 

login 

// 远 程 登录 的 优先 级 和 密码 


! 


end 


在 结果 中 可 以 看 到 交换 机 的 许多 状态 ,如 主机 名 、 密 码 , 接 口号 ,接口 是 哪 一 类 的 ,在 


干道 模式 下 工作 还 是 在 访问 模式 下 工作 ,以 及 访问 控制 列表 等 。 


* 显示 VLAN 的 命令 为 show vlan 
Switch# sh vlan 
VILAN Name Status Ports 
1 gefault active Gil/1, Gi1/2, Gi2/2, Gi3/1, Gi3/2, Fa3/8, 
Fa3/17, Fa3/18, Fa3/27, Fa3/29, Fa3/30 
Fa3/31, Fa3/32, Gi4/2, Gi4/4, Gi4/5, Gi4/ 
15, Gi4/16, Gi4/17, Gi4/21, Gi4/22, Gi4/23 


// 默 认 端 口号 ,并 且 可 以 看 到 哪些 端口 是 已 经 激活 的 


2 VLAN0002 active 

10 uplink active Fa3/3, Fa3/4, Gi4/1, Gi4/37 
20 bg active 

30 west active Fa3/9, Fa3/19, Gi4/3 

40 sy active 

50 VLANO050 active Fa3/15 


//2~ 50 显示 了 某 些 端口 的 名 称 或 者 VIAN 号 ,可 以 了 解 哪些 端口 属于 哪个 VLAN 
VIAN Type SAID MIU Parent RingNo BridgeNo Stp BrdgMode Transl Trans2 


1 enet 100001 1500 一 二 和 本 二 


2 enet 100002 1500 一 本 4 

10 enet 100010 1500 一 这 所 所 i 

VIAN Type SAID MIU Parent RingNo BridgeNo Stp BrdgMode Transl Trans2 
118 enet 100118 1500 一 室 号 ba 

119 enet 100119 1500 一 芝 二 容 

120 enet 100120 1500 一 受 学 富 


//VLIAN 标 号 及 其 类 型 .最 大 传输 单位 值 , 父 令 牌 号 、 网 桥 号 、 网 桥 方式 、 传 输 号 等 


A 网 络 管理 与 安全 
在 显示 内 容 中 可 以 看 到 这 个 三 层 交 换 机 配置 的 VLAN 的 状态 ,如 有 多 少 个 VALN， 
编号 怎样 , 每 个 接口 是 快速 以 太 网 (FastEthernet, 用 Fa 表示 ) 还 是 千 兆 以 太 网 
(GigabitEthernet, 用 Gi 表示 ) ,接口 是 否 被 激活 等 。 
* 显示 交换 机 接口 的 MAC 地 址 表 的 命令 为 Show mac- address- table 


Switch# show mac- address- table 


Unicast Entries 


vlan mac address type protocols port 

-一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
1 0002.5558.c4le dynamic ip GigabitEthernet4/33 

1 000f.237c.aabf static ip,ipx,assigned,other Switch 

1 © 000f.e207.f2e0 dynamic other GigabitEthernet2/6 

2 0001.6c88.b2e2 dynamic ip GigabitEthernet2/6 

10 0009.0f0c.7a94 dynamic ip GigabitEthernet4/37 

10 000f.237c.aabf static ip,ipx,assigned,other Switch 

30 0005.3b0a.40b3 dynamic other FastEthernet3/9 


可 以 看 到 交换 机 每 个 接口 对 应 的 MAC 地址 是 静态 还 是 动态 ,采用 什么 协议 等 。 其 
中 VLAN 是 VLAN 号 ,mac address 是 交换 机 接口 的 MAC 地 址 号 ,type 表明 接口 是 动 
态 还 是 静态 ,protocol 是 对 应 的 协议 ,port 是 交换 机 接口 号 。 


4.3 VLAN 的 配置 和 管理 


4.3.1 VLAN 基础 概述 

常规 的 基于 物理 连接 的 局 域 网 由 于 结构 简单 .构建 方便 而 成 为 形成 小 型 简单 网 络 的 
首选 。 局 域 网 (LAN) 通 常 局 限于 单个 建筑 或 某 个 楼 群 内 , 它 将 距离 相对 较 近 的 用 户 通 过 
交换 设备 予以 连接 ,实现 简单 的 资源 共享 。 局域网 (LAN) 中 每 台 单 独 的 PC 或 其 他 主机 
都 是 一 个 网 络 节点 ,这 意味 着 许多 用 户 可 以 共享 昂贵 的 设备 ,如 激光 打印 机 ,扫描 仪 以 及 
数据 ,语音 和 视频 等 媒体 。 局 域 网 (LAN) 通常 由 某 个 组 织 拥 有 ,如 企业 或 学 校 ,并 且 它 们 
处 于 一 个 广播 域 中 。 但 是 在 现在 的 形势 下 ,网 络 结构 越 来 越 复杂 也 越 来 越 大 ,不 仅 用 户 数 
量 多 ,分 布 范围 广 , 地 理 位 置 复 杂 , 应 用 内 容 也 更 加 多 样 化 。 因 此 纯粹 通过 传统 物理 连接 
实现 的 局 域 网 已 经 不 能 满足 需要 ,VLAN(Virtual Local Area Network) 即 虚拟 局 域 网 的 
概念 已 经 成 为 企业 网 络 十 分 常用 的 一 种 结构 。 

VLAN 是 一 种 将 局 域 网 (LAN) 设 备 从 人 逻辑 上 划分 而 不 是 从 物理 上 划分 成 更 小 的 局 
域 网 ,每 一 个 小 局 域 网 称 为 一 个 网 段 , 从 而 实现 虚拟 工作 组 的 数据 交换 技术 。VLAN 的 
主流 应 用 还 是 在 有 VLAN 划分 能 力 的 交换 机 之 中 ,一 般 只 有 三 层 以 上 的 交换 机 才 具 有 此 
功能 。 

VLAN 与 物理 划分 局 域 网 相 比 有 许多 优势 ,主要 包括 以 下 3 个 方面 : 

J 接口 通过 逻辑 划分 分 别 属于 不 同 的 广播 域 。 即 便 在 同一 个 交换 机 上 ,处 于 不 同 


VLAN 的 接口 也 是 不 能 通信 的 。 这 样 一 台 物 理 的 交换 机 可 以 当 作 多 个 逻辑 的 交换 机 
使 用 。 

@) 提高 了 网 络 的 安全 性 。 不 同 的 VLAN 之 间 不 经 过 路 由 就 不 能 直接 通信 ,从 而 将 
安全 隐患 限制 在 VLAN 的 广播 域 中 ,降低 了 广播 信息 的 不 安全 性 。 

@ 灵活 的 管理 。 更 改 用 户 所 属 的 网 络 不 必 更 换 接 口 和 连 线 ,只 更 改 软件 配置 就 可 
以 了 。 

VLAN 技术 可 以 使 管理 员 根 据 实际 应 用 需求 ,把 同一 物理 局 域 网 内 的 不 同 用 户 轨 辑 
地 划分 成 不 同 的 广播 域 ,每 一 个 VLAN 都 包含 一 组 有 相同 需求 的 计算 机 工作 站 ,与 物理 
上 形成 的 LAN 有 着 相同 的 属性 。 由 于 它 是 从 逻辑 上 划分 ,而 不 是 从 物理 上 划分 ,所 以 同 
一 个 VLAN 内 的 各 工作 站 没有 限制 在 同一 个 物理 范围 中 , 即 这 些 工作 站 可 以 在 不 同 物理 
LAN 网 段 。 根 据 VLAN 的 特点 ,一 个 VLAN 内 部 的 广播 和 单 播 流量 都 不 会 转发 到 其 他 
VLAN 中 ,从 而 有 助 于 控制 流量 、 减 少 设备 投资 .简化 网 络 管理 .提高 网 络 的 安全 性 。 
VLAN 除了 能 将 网 络 划 分 为 多 个 广播 域 . 有 效 地 控制 广播 风暴 的 发 生 , 以 及 使 网 络 的 拓 
扑 结构 变 得 非常 灵活 之 外 ,还 可 以 控制 网 络 中 不 同 部 门 .不 同 站 点 之 间 的 互相 访问 。 

如 图 4-13 所 示 为 VLAN 的 结构 和 应 用 。 图 4-13 中 一 个 公司 位 于 一 层 、 二 层 和 三 层 ， 
但 各 层 都 分 别 有 属 于 总 公司 的 财务 部 、 工 程 部 和 市 场 部 ,每 一 层 楼 都 有 一 个 交换 机 , 接 有 
三 台 计 算 机 主机 ,从 物理 连接 上 看 它们 属于 一 个 局 域 网 ,但 是 从 逻辑 结构 上 看 ,也 就 是 说 
从 功能 划分 上 区 别 的 话 ,每 个 局域网 ?分 属于 不 同 的 楼 层 , 因 此 不 能 用 常规 意义 上 的 物理 
局 域 网 实现 ,必须 采取 虚拟 局 域 网 即 VLAN 的 方式 实现 。 可 以 看 出 ,必须 通过 一 定 的 技 
术 将 财务 部 划分 为 一 个 “局域网 ”, 将 工程 部 划分 为 一 个 "局 域 网 ”, 将 市 场 部 划分 为 一 个 
“局 域 网 ”, 才 能 达到 公司 的 实际 需求 。 


核心 交换 属 丙 | 
机 CORE 2 


图 4-13 ”VLAN 结构 


VLAN 在 交换 机 上 的 实现 方法 ,可 以 大 致 划 分 为 以 下 6 类 。 
(1) 基于 接口 的 VLAN 
这 是 最 常 应 用 的 一 种 VLAN 划分 方法 ,应 用 也 最 为 广泛 .有 效 ,目前 绝 大 多 数 有 


区 


VLAN 功能 的 交换 机 都 提供 这 种 VLAN 配置 方法 。 这 种 划分 VLAN 的 方法 是 根据 以 太 
网 交换 机 的 交换 接口 来 划分 的 , 它 是 将 VLAN 交换 机 上 的 物理 接口 和 VLAN 交换 机 内 
部 的 永久 虚 电路 接口 分 成 若干 个 组 ,每 个 组 构成 一 个 虚拟 网 ,相当 于 一 个 独立 的 VLAN 
交换 机 。 这 种 方法 划分 的 VLAN 也 称 为 静态 VLAN。 

如 图 4-13 所 示 , 本 部 门人 员 互 访 时 ,相互 处 在 一 个 VLAN 内 ,并 属于 一 个 广播 域 。 
而 不 同 部 门 需 要 互 访 时 , 则 要 通过 路 由 器 转发 或 者 通过 三 层 交 换 机 的 路 由 模块 转发 ,并 配 
合 基于 MAC 地 址 的 接口 过 滤 。 不 同 的 VLAN 之 间 是 不 能 直接 互 访 的 ,除非 经 过 了 路 由 
的 许可 ,这 样 就 可 以 通过 VLAN 的 隔离 功能 提高 网 络 的 安全 性 。 

这 种 划分 方法 的 优点 是 定义 VLAN 成 员 时 非常 简单 ,只 要 将 所 有 的 接口 都 定义 为 相 
应 的 VLAN 组 即 可 ,适合 于 任何 大 小 的 网 络 。 它 的 缺点 是 如 果 某 用 户 离 开 了 原来 的 接 
口 ,到 一 个 新 的 交换 机 的 某 个 接口 , 则 必须 重新 定义 。 

(2) 基于 MAC 地 址 的 VLAN 

这 种 划分 VLAN 的 方法 是 根据 每 个 主机 的 MAC 地 址 来 划分 ,即将 每 个 MAC 地 址 
的 主机 都 配置 成 属于 某 个 VLAN 组 , 它 的 实现 机 制 就 是 每 一 块 主机 上 的 网 卡 都 对 应 唯一 
的 MAC 地 址 ,VLAN 交换 机 跟踪 属于 VLAN 的 主机 的 MAC 地 址 。 这 种 方式 的 VLAN 
允许 网 络 用 户 从 一 个 物理 位 置 移动 到 另 一 个 物理 位 置 时 ,自动 保留 其 所 属 VLAN 的 成 员 
身份 。 这 种 方法 划分 的 VLAN 也 称 为 动态 VLAN。 

动态 VLAN 的 划分 方法 的 最 大 优点 就 是 当 用 户 的 物理 位 置 移动 时 , 即 从 一 个 交换 机 
接口 换 到 其 他 的 交换 机 接口 时 ,VLAN 不 用 重新 配置 ,因为 它 是 基于 用 户主 机 本 身 网 卡 
上 的 MAC 地 址 ,而 不 是 基于 交换 机 的 接口 。 这 种 方法 对 于 使 用 笔记 本 计算 机 的 用 户 最 
有 利 ,因为 可 以 保证 在 任意 位 置 接 人 网 络 而 属于 的 VLAN 组 不 会 变化 。 这 种 方法 的 缺点 
是 初始 化 时 ,所 有 的 用 户 都 必须 进行 配置 ,如 果 有 几 百 个 甚至 上 千 个 用 户 , 配 置 是 非常 累 
的 ,所 以 这 种 划分 方法 通常 适用 于 小 型 局 域 网 。 而 且 这 种 划分 方法 也 导致 了 交换 机 执行 
效率 的 降低 ,因为 在 每 一 个 交换 机 的 接口 都 可 能 存在 很 多 个 VLAN 组 的 成 员 , 保 存 了 许 
多 用 户 的 MAC 地 址 ,查询 起 来 相当 不 容易 。 

(3) 基于 网 络 层 协议 的 VLAN 

VLAN 按 网 络 层 协议 来 划分 ,可 分 为 IP,IPX. AppleTalk, Banyan 等 VLAN 网 络 。 
这 种 按 网 络 层 协议 来 组 成 的 VLAN ,可 使 广播 域 跨越 多 个 VLAN 交换 机 ,这 对 于 希望 针 
对 具体 应 用 和 服务 来 组 织 用 户 的 网 络 管理 员 来 说 是 非常 具有 吸引 力 的 。 而 且 , 用 户 可 以 
在 网 络 内 部 自由 移动 ,但 其 VLAN 成 员 身 份 仍 然 保 持 不 变 。 

这 种 方法 的 优点 是 用 户 的 物理 位 置 改变 ,不 需要 重新 配置 所 属 的 VLAN ,而 且 可 以 
根据 协议 类 型 来 划分 VLAN, 这 对 网 络 管理 者 来 说 很 重要 。 这 种 方法 的 缺点 是 效率 低 ， 
因为 检查 每 一 个 数据 包 的 网 络 层 地 址 需要 耗费 处 理 时 间 , 一 般 的 交换 机 芯片 都 可 以 自动 
检查 网 络 上 数据 包 的 以 太 网 帧 头 ,但 要 让 芯片 能 检查 IP 帧 头 ,需要 更 高 的 技术 ,同时 也 更 
费时 。 

以 上 3 种 是 最 常见 的 配置 VLAN 的 方法 ,还 有 几 种 方法 可 以 使 用 ,只 是 用 得 比较 少 ， 
下 面 简单 介绍 一 下 。 

(4) 基于 IP 组 播 的 VLAN 
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IP 组 播 实 际 上 也 是 一 种 VLAN 的 定义 , 即 认 为 一 个 了 P 组 播 组 就 是 一 个 VLAN。 这 
种 划分 的 方法 将 VLAN 扩大 到 了 广域网 ,因此 这 种 方法 具有 更 大 的 灵活 性 ,而 且 也 很 容 
易 通 过 路 由 器 进行 扩展 ,主要 适合 于 不 在 同一 地 理 范 围 的 局 域 网 用 户 组 成 一 个 VLAN， 
不 适合 局 域 网 ,因此 在 位 置 比较 集中 的 企业 内 很 少 用 此 方法 。 

(5) 按 策略 划分 的 VLAN 

基于 策略 组 成 的 VLAN 能 实现 多 种 分 配方 法 ,包括 VLAN 交换 机 接口 .MAC 地 址 、 
IP 地 址 、 网 络 层 协议 等 。 网 络 管理 人 员 可 根据 自己 的 管理 模式 和 本 单位 的 需求 来 决定 选 
择 哪 种 类 型 的 VLAN。 这 种 方法 相对 比较 复杂 ,需要 网 管 人 员 有 较 高 的 技术 水 平和 丰富 
的 网 络 管理 经 验 。 

(6) 按 用 户 授权 权限 划分 的 VLAN 

基于 用 户 授权 权限 来 划分 VLAN 是 指 为 了 适应 特别 要 求 的 VLAN 网 络 ,尤其 是 对 
安全 级 别 要 求 较 高 的 场合 。 根 据 具 体 的 网 络 用 户 的 特别 要 求 来 定义 和 设计 VLAN ,而 且 
可 以 让 不 同 VLAN 群体 的 用 户 访问 某 个 特定 的 VLAN 时 需要 提供 用 户 密码 ,在 得 到 
VLAN 管理 的 认证 后 才 可 以 加 入 另 一 个 VLAN。 
4.3.2 配置 VLAN 的 基本 方法 

配置 VLAN 需要 一 定 的 条 件 ,不 是 任何 交换 机 都 能 实现 。 应 满足 的 基本 条 件 为 : 交 
换 机 具备 划分 VLAN 的 功能 ;交换 机 支持 “干道 ”( 即 Trunk, 也 有 的 称 为 中 继 ) 机 制 ,因为 
逻辑 上 的 VLAN 之 间 的 通信 必须 通过 干道 实现 ;应 有 路 由 器 或 者 支持 路 由 的 三 层 交 
换 机 。 

下 面 通过 图 4-14 和 图 4-15 的 简单 图 例 说 明 。 

如 图 4-14 所 视 为 一 个 简单 划分 了 两 个 VLAN 的 环境 。 其 中 交换 机 S1 的 第 一 个 端 
口 划 分 给 主机 A 接 入 到 VLAN1, 第 二 个 端口 划分 给 主机 B 接 入 到 VLAN2, 而 交换 机 S2 
的 第 一 个 端口 划分 给 主机 C 接 入 到 VLAN1. 第 二 个 端口 也 划分 给 主机 D 接 入 到 
VLAN2。 两 个 分 属于 不 同 VLAN 的 主机 ,如 主机 A 与 主机 C( 属 于 VLAN1) 的 通信 及 
主机 B 与 主机 D( 属 于 VLAN2) 的 通信 从 物理 连接 上 应 该 各 自 通过 另外 的 交换 机 端口 连 


VLANI1 VLAN2 主机 3 主机 4 
VLANI VLAN2 


图 4-14 采用 干道 技术 之 前 的 VLAN 模式 


接 VLAN1 和 VLAN2 两 条 线 。 这 仅仅 划分 了 两 个 VLAN ,为 了 实现 VLAN 之 间 的 通信 
用 掉 了 两 个 端口 。 当 划分 的 VLAN 越 多 ,占用 的 端口 就 越 多 ,很 多 端口 都 用 于 搭建 
VLAN 之 间 的 通信 这 对 交换 机 是 极 大 的 浪费 。 
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那么 ,可 不 可 以 通过 某 种 方法 实现 VLAN 之 间 的 通信 只 用 各 自 交换 机 的 一 个 端口 ， 
两 个 交换 机 之 间 只 搭 一 条 干道 ,所 有 的 VLAN 之 间 的 通信 在 这 个 干道 上 互 不 干扰 各 行 其 
道 呢 ? 答案 是 肯定 的 。 

把 图 4-14 中 交换 机 之 间 连 接 的 两 条 线 合并 成 一 条 ,如 图 4-15 所 示 , VLAN1 和 
VLAN2 都 通过 一 条 干道 。 事 实 上 ,无 论 划 分 了 多 少 个 VLAN ,都 可 以 通过 这 样 一 条 只 占 
用 两 个 交换 机 接口 的 干道 实现 各 自 VLAN 之 间 的 通信 ,而 不 会 占用 过 多 的 交换 机 端口 ， 
这 种 技术 称 为 干道 技术 。 


VLANI VLAN2 主机 3 主机 4 
VLANI VLAN2 


图 4-15 采用 干道 技术 后 的 VLAN 模式 


对 于 交换 机 上 的 端口 ,如 果 这 个 端口 是 接 入 主机 的 ,如 交换 机 Sl 的 端口 1 接 入 属于 
VLANI 的 主机 A, 那 么 把 这 种 链 路 方式 称 为 访问 链 路 (Access Link)。 如 果 交 换 机 的 端 
口 接 入 另外 一 台 交换 机 的 端口 ,形成 交换 机 之 间 连 接 的 干道 ,如 交换 机 Sl 的 端口 3 连接 
交换 机 S2 的 端口 3, 这 种 链 路 称 为 干道 链 路 。 简 而 言 之 ,访问 链 路 连接 的 一 般 是 属于 某 
个 VLAN 的 终端 或 主机 ,干道 链 路 实现 的 是 交换 机 之 间 的 连接 和 通信 。 

通过 网 管 人 员 手 动 配置 上 述 简单 的 VLAN 结构 是 可 行 的 ,但 是 当 网 络 很 大 很 复杂 时 
就 不 太 现实 。 实 际 上 ,可 以 构造 一 种 结构 ,使 得 在 一 台 交 换 机 上 配置 好 VLAN ,其 他 交换 
机 能 够 自动 地 学 习 到 这 些 VLAN 的 配置 。VTP(VLAN Trunking Protocol) 是 实现 这 种 
配置 VLAN 的 另外 一 个 重要 的 概念 ,也 可 以 称 为 VLAN 管理 域 。 对 于 企业 的 交换 网 络 ， 
在 许多 情况 下 会 比较 大 ,交换 机 也 会 比较 分 散 ,采用 VTP 可 以 大 大 地 简化 网 管 人 员 的 
操作 。 

4.3.3 ”交换 机 VLAN 配置 实例 

交换 机 一 般 的 配置 实例 已 经 在 4. 2 节 中 举例 说 明了 ,本 节 重点 讲解 VLAN 配置 的 实 
例 。VLAN 的 配置 要 比 常 规 交换 机 的 配置 复杂 很 多 ,而 且 要 有 一 定 的 路 由 器 配置 的 知 
识 。 对 于 如 图 4-13 所 示 的 结构 ,可 以 使 用 由 三 层 交 换 功 能 的 核心 交换 机 作为 配置 VLAN 
的 主 交换 机 ,其 他 位 于 各 楼 层 的 交换 机 作为 接 和 层 交 换 机 来 使 用 ,每 层 配置 了 一 台 2950G 
交换 机 ,结构 如 图 4-16 所 示 。 


1. VLAN 构成 的 方式 

(1) 核心 交换 机 选用 CISCO 4506。 

交换 机 名 称 : CORE。 

使 用 的 CORE 交换 机 端口 : 第 一 个 插 槽 插入 3 个 千 兆 光纤 模块 ,端口 号 为 g1/1,g1/ 
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图 4-16 配置 的 VLAN 结构 


2,g1/3。 

与 其 他 交换 机 端口 的 连接 方式 : CORE 交换 机 的 g1/1 习 第 一 层 楼 交换 机 FL1 光纤 
模块 接口 g0/1;CORE 交换 机 的 g1/2 一 第 二 层 楼 交换 机 FL2 光纤 模块 接口 g0/1;CORE 
交换 机 的 g1/3 习 第 三 层 楼 交换 机 FL3 光纤 模块 接口 g0/1。 

(2) 第 一 层 楼 交换 机 选用 CISCO 2950G 

交换 机 名 称 : FL1。 

使 用 的 FL1 交换 机 端口 及 连接 方式 : 第 0 个 插 槽 插入 千 兆 光纤 模块 ,端口 号 为 g0/ 
1, 与 核心 交换 机 CORE 的 g1/1 相连 。 另 外 还 启用 3 个 快速 以 太 网 端口 Fa0/1,Fa0/2 和 
Fa0/3, 分 别 与 不 同 部 门 的 主机 相连 。 

(3) 第 二 层 楼 交换 机 选用 CISCO 2950G 

交换 机 名 称 : FL2。 

使 用 的 FL2 交换 机 端口 及 连接 方式 : 第 0 个 插 槽 插入 千 兆 光纤 模块 ,端口 号 为 g0/ 
1 ,与 核心 交换 机 CORE 的 g1/2 相连 。 另 外 还 启用 三 个 快速 以 太 网 端口 Fa0/1,Fa0/2 和 
Fa0/3 ,分 别 与 不 同 部 门 的 主机 相连 。 

(4) 第 三 层 楼 交换 机 选用 CISCO 2950G 

交换 机 名 称 : FL3。 

使 用 的 FL3 交换 机 端口 及 连接 方式 : 第 0 个 插 槽 插入 千 兆 光纤 模块 ,端口 号 为 g0/ 
1 ,与 核心 交换 机 CORE 的 g1/3 相连 。 另 外 还 启用 三 个 快速 以 太 网 端口 Fa0/1,Fa0/2 和 
Fa0/3 ,分 别 与 不 同 部 门 的 主机 相连 。 


2. 构造 VLAN 时 的 主要 步骤 
(1) 设 定 VTP 域 
在 核心 交换 机 和 不 同 楼 层 上 的 交换 机 上 都 设置 VTP 域 ,其 中 交换 机 CORE 设置 为 


区 


服务 器 (Server) 模 式 , 其 他 三 个 楼 层 的 交换 机 设置 为 客户 端 模式 (Client) ,域名 命名 为 
WG。 下 面 介 绍 其 配置 过 程 。 
@ 对 核心 交换 机 CORE 进行 配置 ,先进 入 VLAN 配置 模式 。 


CORE# vlan database // 进 入 VLAN 配置 模式 
CORE (vlan)# vtp domain WG // 设 置 VIP 管 理 域名 为 WG 
CORE (vlan)#vtp server // 设 置 核心 交换 机 为 服务 器 (server) 模 式 


@ 对 各 楼 层 交 换 机 也 要 进行 VTP 域 配置 .在 VLAN 配置 模式 下 。 
第 一 层 楼 交换 机 如 下 : 


FLl# vlan database // 进 入 VIAN 配置 模式 

FL1 (vlan)#vtp domain WG // 设 置 VIP 管 理 域名 为 WG 

FL1 (vlan)#vtp client // 设 置 第 一 层 楼 交换 机 为 客户 端 (client) 模 式 
第 二 层 楼 交换 机 如 下 : 

FL2# vlan database // 进 入 VLAN 配置 模式 

FL2 (vlan)#vtp domain WG // 设 置 VIP 管 理 域 名 为 WwG 

FL2 (vlan)#vtp client // 设 置 第 二 层 楼 交换 机 为 客户 端 (client) 模 式 
第 三 层 楼 交换 机 如 下 : 

FL3# vlan database // 进 入 VLAN 配置 模式 

FL3 (vlan)# vtp domain WG // 设 置 VIP 管 理 域 名 为 WG 

FL3(vlan)#vtp client // 设 置 第 三 层 楼 交换 机 为 客户 端 (client) 模 式 


注意 : 核心 交换 机 CORE 和 其 他 三 个 交换 机 都 属于 同一 个 域 WG, 而 设置 的 结果 使 
得 核心 交换 机 成 为 VYLAN 的 主管 理 方 (Server), 它 可 以 添加 ,人 修改、 删除 VLAN 及 修改 
VLAN 的 参数 , 它 的 操作 影响 整个 VTP 域 。 服 务 器 模式 下 的 交换 机 对 VLAN 操作 的 作 
用 范围 是 整个 VTP 域 ,还 将 对 VLAN 的 操作 保存 到 它 的 NVRAM 中 ,同时 向 它 所 连接 
的 所 有 干道 链 路 发 送 VTP 信息 ,在 整个 VTP 域 中 通知 其 他 客户 端 模式 下 的 交换 机 对 
VLAN 的 操作 。FL1,FL2,FL3 都 是 VTP 的 客户 端 ,客户 端 模式 下 的 交换 机 不 可 以 添 
加 修改 .删除 VLAN 及 修改 VLAN 的 参数 , 它 只 能 学 习 到 服务 器 模式 下 的 交换 机 对 
VTP 域 中 VLAN 的 添加 、 修 改 、 删 除 信 息 , 并 把 该 信息 向 自己 所 有 的 干道 链 路 接口 转发 。 
客户 端 交换 机 模式 不 保存 VLAN 的 添加 修改 、 删 除 信息 ,但 可 以 同步 本 VTP 域 中 其 他 
交换 机 传递 来 的 VLAN 信息 。 

(2) 配置 干道 (在 核心 交换 机 和 各 楼 层 的 交换 机 双向 都 配置 ) 

配置 干道 用 于 在 管理 域 中 形成 交换 机 之 间 的 通信 干道 ,并 保证 能 够 覆盖 所 有 分 支 交 
换 机 。 对 于 以 太 网 ,CISCO 支持 两 种 干道 协议 ,一 种 是 IEEE 制定 的 802. 1Q, 另 一 种 是 
CISCO 公司 开发 的 私有 技术 ISL。 以 核心 交换 机 为 主 端 ,对 各 楼 层 交 换 机 的 连接 称 为 下 
连 , 各 楼 层 交 换 机 对 于 核心 交换 机 的 连接 称 为 上 连 。 

@ 对 核心 交换 机 干道 进行 配置 

当 用 核心 交换 机 的 g1/1 接 人 下 连 交换 机 为 第 一 层 楼 的 g0/1 口 时 配置 如 下 : 
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CORE (config)# interface gigabitethernet 1/1 

// 进 入 下 连接 口 g1/1, 与 第 一 层 楼 交换 机 g0/1 口 相连 

CORE (config- if)#description link to EL1 g0/1 

// 描 述 与 开 1 的 g0/1 接 口 相连 

CORE (config- if)# switchport 

// 指 定 g1/1 为 二 层 交 换 接口 

CORE (config- if)# switchport trunk encapsulation dotlq 
// 指 定 接口 为 802.18 协 议 封装 

CORE (config- if)# switchport mode trunk 

// 将 接口 g1/1 设 置 为 干道 模式 


当 用 核心 交换 机 的 g1/2 接 入 下 连 交换 机 为 第 二 层 楼 的 g0/1 口 时 配置 如 下 : 


CORE (config)# interface gigabitethernet 1/2 

// 进 入 下 连接 口 gl/2, 与 第 二 层 楼 交换 机 g0/1 口 相连 

CORE (config- if)#description link to FL2 g0/1 

// 描 述 与 FL2 的 g0/1 接口 相连 

CORE (config- if)# switchport 

// 指 定 g1/2 为 二 层 交 换 接口 

CORE (config- if)# switchport trunk encapsulation dotlq 
// 指 定 接口 为 802.1Q 协 议 封 装 

CORE (config- if)# switchport mode trunk 

// 将 接口 g1/2 设 置 为 干道 模式 


当 用 核心 交换 机 的 g1/3 接 入 下 连 交换 机 为 第 三 层 楼 的 g0/1 口 时 配置 如 下 : 


CORE (config)# interface gigabitethernet 1/3 

// 进 入 下 连接 口 g1/3, 与 第 三 层 楼 交换 机 g0/1 口 相连 

CORE (config- if)#description link to FL3 g0/1 

// 描 述 与 三 3 的 g0/1 接口 相连 

CORE (config- if)# switchport 

// 指 定 g1/3 为 二 层 交 换 接 口 

CORE (config- if)# switchport trunk encapsulation dotlq 
// 指 定 接口 采用 干道 封装 的 802.18 协 议 

CORE (config- if)# switchport mode trunk 

// 将 接口 g1/3 设 置 为 干道 模式 


@ 对 第 一 层 楼 交换 机 FL1 进行 配置 。 


ETL]1 (config)# interface gigabitethernet 0/1 

// 进 入 上 连接 口 g0/1 

FL]1 (config- if)#switchport trunk encapsulation dotlq 
// 指 定 接口 采用 干道 封装 的 802.18 协 议 

FL] (config- if)#switchport mode trunk 

// 将 接口 go/1 设置 为 干道 模式 


@ 对 第 二 层 楼 交换 机 FL2 进行 配置 。 


se 


FL2 (config)# interface gigabitethernet 0/1 

// 进 入 上 连接 口 g0/1 

FL2 (config- if)# switchport trunk encapsulation dotlq 
// 指 定 接口 为 802.18 协 议 封装 

FL2 (config- if)# switchport mode trunk 

// 将 接口 g0/1 设 置 为 干道 模式 


@ 对 第 三 层 楼 交换 机 FL3 进行 配置 。 


EL3 (config)# interface gigabitethernet 0/1 

// 进 入 上 连接 口 g0/1 

FL3 (config- if)#switchport trunk encapsulation dotlq 
// 指 定 接口 为 802.1Q 协 议 封 装 

EL3 (config- if)# switchport mode trunk 

// 将 接口 g0/1 设 置 为 干道 模式 


至 此 ,4 个 互 连 的 交换 机 相互 通信 的 干道 配置 完毕 。 
(3) 在 已 经 建 好 的 管理 域 中 创建 VLAN 
包括 两 部 分 ,第 一 部 分 ,因为 核心 交换 机 CORE 是 管理 域 的 服务 器 (Server) ,所 以 


VLAN 必须 在 核心 交换 机 上 创建 , 建 好 后 通过 VTP 告知 整个 管理 域 中 的 其 他 交换 机 , 包 
括 各 楼 层 交 换 机 ;第 二 部 分 ,各 楼 层 交 换 机 是 客户 端 ,不 能 创建 VLAN ,只 需 将 对 应 的 接 
口 划 入 对 应 的 VLAN 即 可 。 


加 核心 交换 机 对 VLAN 进行 配置 和 划分 。 


CORE# Vlan database 

// 进 入 VIAN 配置 模式 

CORE (vlan)#vlan 10 name financial 

// 创 建 一 个 编号 为 10 的 名 称 为 financial 的 VIAN 
CORE (vlan)#vlan 20 name engineering 

// 创 建 一 个 编号 为 20 的 名 称 为 engineering 的 VLAN 
CORE (vlan)#vlan 30 name marketing 

// 创 建 一 个 编号 为 30 的 名 称 为 marketing 的 VLAN 


这 样 三 个 编号 分 别 为 10 号 ,20 号 和 30 号 的 ,并 且 有 名 称 的 VLAN 即 创建 完成 。 
@ 将 各 楼 层 交 换 机 相连 接 的 接口 划 入 不 同 的 VLAN。 


ELI (config)# interface fastehernet 0/1 
// 进 入 上 连接 口 Fa0/1 

FL]1 (Config- if)# switchport mode access 

// 指 定 接口 为 访问 模式 , 接 入 一 楼 财务 部 主机 
ETL1 (Config- if)#switchport access vlan 10 
// 将 接口 Fa0/1 设 置 为 属于 VIAN 10 


FL] (config)# interface fastehernet 0/2 
// 进 入 上 连接 口 Fa0/2 


FT] (config- if)# switchport mode access 

// 指 定 接口 为 访问 模式 , 接 人 二 楼 工程 部 主机 
EFL] (config- if)# switchport access vlan 20 
// 将 接口 Fa0/2 设 置 为 属于 VAN 20 


EFL] (config)# interface fastehernet 0/3 
// 进 入 上 连接 口 Fa0/3 

ET1 (config- if)#switchport mode access 

// 指 定 接口 为 访问 模式 , 接 入 三 楼 市 场 部 主机 
FL] (config- if)#switchport access vlan 30 
// 将 接口 Fa0/3 设 置 为 属于 VIAN 30 


第 一 层 楼 交换 机 共有 4 个 接口 ,一 个 接 入 干道 与 核心 交换 机 相连 ,其 他 3 个 接口 接 入 
到 划分 为 财务 部 .工程 部 和 市 场 部 3 个 部 门 的 VLAN。 第 二 层 楼 和 第 三 层 楼 的 交换 机 
FL2 和 FL3 的 VLAN 配置 方法 与 FL1 一 样 ,在 此 不 再 重复 。 

(4) 配置 三 层 交 换 

划分 完 VLAN 还 不 算 最 后 完成 任务 ,因为 每 个 VLAN 只 能 在 自己 内 部 互 访 ,不 能 实 
现 VLAN 之 间 的 相互 访问 ,做 到 这 一 点 必须 要 求实 现 三 层 交换 。 也 就 是 说 ,要 给 各 
VLAN 分 配 网 络 IP 地 址 ,而 每 个 VLAN 的 IP 地 址 又 成 为 VLAN 内 连接 主机 的 网 关 。 
给 VLAN 内 的 所 有 主机 分 配 IP 地 址 有 两 种 方法 ,一 种 是 静态 IP 地 址 分 配 , 另 一 种 是 动 
态 IP 地 址 分 配 。 

下 面 介 绍 VLAN 的 IP 地 址 分 配 的 方法 。 

对 于 VALN 10, 即 财务 部 的 VLAN, 配 置 如 下 : 


CORE (config)# interface valn 10 

// 进 入 VIAN 10 接 口 ,对 其 进行 配置 

CORE (config- if)#ip address 192.168.1.1 255.255.255.0 
// 为 VAN 10 配置 IP 地 址 


对 于 VALN 20, 即 工程 部 的 VLAN 配置 如 下 : 


CORE (config)# interface valn 20 

// 进 入 VIAN 20 接口, 对 其 进行 配置 

CORE (config- if)# ip address 192.168.2.1 255.255.255.0 
// 为 VAN 20 配置 IP 地 址 


对 于 VALN 30, 即 市 场 部 的 VLAN ,配置 如 下 : 


CORE (config)# interface valn 30 

// 进 入 VIAN 30 接 口 ,对 其 进行 配置 

CORE (config- if)# ip address 192.168.3.1 255.255.255.0 
// 为 VIAN 30 配 置 IP 地 址 


接 人 每 个 VLAN 的 主机 的 IP 地 址 都 在 相应 的 VALN 网 段 内 ,比如 财务 部 接 入 的 计 
算 机 主机 设 定 的 IP 地 址 都 应 在 192. 168. 1. 2 一 192. 168. 1. 254 范围 内 , 子 网 掩 码 为 255. 


区 
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255. 255. 0 ,网关 为 192. 168. 1. 1, 即 VLAN 10 的 IP。 另 外 两 个 VLAN 也 是 如 此 。 各 
VLAN 内 的 主机 确定 自己 的 了 P 地 址 有 两 种 方法 : 静态 的 和 动态 的 。 静 态 的 需要 手动 设置 
IP 地 址 和 子 网 掩 码 ,注意 一 定 要 将 网 关 设 置 为 所 属 VLAN 的 卫 。 比 如 有 一 台 财 务 部 的 计 
算 机 就 可 以 设置 成 如 图 4-17 所 示 ,DNS 服务 器 应 输入 对 应 的 域名 解析 服务 器 的 IP 地 址 。 


Internet 协议 (ICP/IP) 属性 


[ 


加 果 网 络 支持 此 功能 ， 以 获 职 自动 指派 的 _IF 设置 。 否则 ， 
漆 时 部 状 区 网 得 适当 的 IF 设置 。 


人 目 动 获得 IF 地 址 O) 
人 多 使 用 下 面 的 IP 地 址 GE) 
TP 地 址 加 ) 

子 网 掩 码 QD 


默认 网 关 @) 


自动 艾 袜 DIS 服务 器 地 址 @) 
全 使 用 下 面 的 DNS 服务 器 地 址 到 ) 
首选 DRS 服务 器 中) 
备用 DNS 服务 器 和) 


图 4-17 静态 IP 地 址 分 配 


还 有 一 种 方法 是 客户 端 不 用 设置 IP 地 址 ,可 以 通过 网 络 中 的 DHCP 服务 器 (假设 它 
的 IP 地 址 为 192. 168. 4. 1) 动 态 地 给 网 络 中 的 计算 机 主机 分 配 IP 地 址 ,会 划分 对 应 的 作 
用 域 ,比如 对 VALN 10 划分 成 作用 域 为 192. 168. 1. 0 ,那么 财务 部 内 的 主机 就 会 自动 获 
得 IP 地 址 和 子 网 掩 码 , 只 要 选中 “自动 获得 IP 地 址 ” 即 可 。 应 该 指出 的 ,必须 在 核心 交换 
机 CORE 内 加 一 条 命令 ,比如 对 VLAN 10 应 对 接口 g1/1 做 如 下 操作 ， 


CORE (config- if)# ip helper-address 192.168.4.1 


4.4 思考 和 练习 


. 什么 是 交换 机 的 MAC 地 址 学 习 功能 ? 

. 交换 机 的 远程 配置 方式 有 几 种 ? 各 有 什么 特点 ? 

. 可 网 管 交 换 机 有 4 种 重要 的 存储 器 ,请 分 别 描述 它们 的 作用 。 

. 请 简 述 基于 接口 的 VLAN 和 基于 MAC 的 VLAN 各 有 什么 特点 ,有 什么 区 别 ? 
. 请 简 述 干道 技术 的 原理 。 


wD 


4.5 实 训 练习 


实 训练 习 1: 交换 机 的 连接 方法 和 IOS 用 于 交换 机 的 基本 命令 练习 
实验 室 连接 及 IP 地 址 分 配 如 图 4-18 所 示 。 


192.168.2.1 ES PM 192.168.1.1 
ZT 


三 层 交 换 机 4506 
192.168.2.3 192.168.1.3 
交换机 2950 钨 亡 ) ti x os 
192.168.2.2 192.168.1.2 
避 Sy hm 加 
计算 机 主机 计算 机 主机 计算 机 主机 计算 机 主机 计算 机 主机 计算 机 主机 
192.168.2.11~192.168.2.20 192.168.1.11~192.168.1.20 


图 4-18 ”实验 室 连 接 和 IP 地 址 分 配 


要 求 : 


(1) 按 图 4-18 所 示 用 Console 口 先 为 三 层 交 换 机 4506 的 两 个 接口 配置 IP 地 址 
(192. 168.2.1 和 192. 168. 1. 1) 和 子 网 掩 码 (255. 255. 255. 0) 。 
(2) 先 用 Console 口 为 2950 的 某 一 个 接口 各 配 一 个 IP(192. 168. 2. 3 和 192. 168. 1. 
3) 和 子 网 掩 码 (255. 255. 255. 0) ,然后 通过 Telnet 命令 登录 到 三 个 交换 机 ,并 配置 各 自 的 


IP 地 址 和 子 网 掩 码 (255. 255. 255. 0) 。 
(3) 练习 交换 机 几 个 模式 之 间 的 转换 。 


(4) 在 全 局 模式 下 执行 show running-config 命令 ,观察 交换 机 所 有 的 配置 情况 。 


(5) 执行 show ip,show interface,show vlan 命令 ,分析 显 示 结 果 。 


实 训练 习 2: 交换 机 的 VLAN 配置 练习 


根据 如 图 4-19 所 示 的 结构 做 VLAN 划分 及 配置 实验 。 


主机 1 主机 2 
VLAN3 VLAN2 


图 4-19 


主机 3 主机 4 
VLAN3 VLAN2 
VLAN 结构 
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要 求 : 

(1) 路 由 器 命名 为 A ,交换 机 命名 为 A 和 B, 支 持 VLAN 划分 功能 。 

(2) 完成 VTP 设置 ,交换 机 A 设置 成 Server 端 ,交换 机 B 设置 成 Client 端 。 

(3) 划分 两 个 子 网 ,其 中 VLAN2 对 应 的 网 段 为 192. 168. 1. 0, 255. 255. 255. 0， 
VLAN3 对 应 的 网 段 为 192. 168. 2. 0,255. 255. 255. 0。 

(4) 交换 机 A 的 Fa0/1 和 Fa0/2 设置 成 干道 ,交换 机 B 的 Fa0/2 设置 成 干道 。 

(5) 实现 VLAN 之 间 的 路 由 ,不 同 的 VLAN 内 的 计算 机 主机 可 以 互 访 ,以 ping 作为 
是 否 连通 的 监测 工具 。 


路 由 器 的 管理 


5.1 路 由 器 的 配置 和 管理 


路 由 器 是 工作 在 IP 协议 网 络 层 实现 子 网 之 间 转 发 数据 的 设备 ,路 由 技术 就 是 通过 路 
由 器 将 数据 包 从 一 个 网 段 传送 到 另 一 个 网 段 的 技术 ,这 种 网 段 之 间 的 路 径 选 择 是 通过 路 
由 器 中 的 路 由 关系 决定 的 。 路 由 分 为 静态 路 由 和 动态 路 由 。 静 态 路 由 是 由 网 络 管理 员 手 
动 配置 路 由 器 中 路 由 表 的 路 由 ,而 动态 路 由 则 是 路 由 器 通过 路 由 协议 自动 学 习 到 的 路 由 。 
网 络 管理 员 应 该 熟练 地 掌握 配置 路 由 器 的 静态 路 由 技术 ,并 能 很 好 地 管理 和 使 用 路 由 器 。 

简单 地 说 ,路 由 器 可 以 分 为 软件 转发 路 由 器 和 硬件 转发 路 由 器 。 软 件 转发 路 由 器 通 
过 软件 实现 数据 转发 ,硬件 转发 路 由 器 使 用 网 络 处理 器 硬件 技术 实现 数据 转发 。 

常见 的 路 由 器 配置 内 容 包括 以 下 几 部 分 。 

1. 路 由 配置 的 条 件 

路 由 是 指 将 来 自 一 台 网 络 设备 如 计算 机 主机 的 数据 包 穿 过 网 络 发 送 到 位 于 另 一 个 网 
段 中 设备 上 的 路 径 信息 。 路 由 的 配置 就 是 通过 路 由 器 的 操作 系统 合理 配置 ,使 通过 路 由 
器 的 数据 包 根据 设 定好 的 路 径 , 在 路 由 器 的 控制 下 向 不 同 的 网 段 传送 数据 。 路 由 器 还 应 
该 能 够 维护 这 些 路 由 的 完整 和 无 差错 。 

配置 路 由 应 该 具备 的 条 件 如 下 : 

@ 知道 数据 包 的 目的 地 址 。 一 般 是 指 目的 IP 地 址 。 不 知道 数据 包 的 目的 地 址 ,就 
不 知道 数据 包 传 向 何 处 。 比 如 ,你 要 向 别人 打听 道路 ,如 果 不 告诉 你 要 去 什么 地 方 , 别 人 
怎样 为 你 指 路 呢 ? 

@ 可 能 到 达 的 目的 网 络 的 路 径 。 配 置 的 路 径 应 该 是 可 以 通过 已 有 的 网 络 路 径 能 够 
到 达 的 ,如 果 设 置 的 路 由 路 径 根 本 不 通 ,设置 的 路 由 将 没有 意义 ,通过 这 个 路 由 发 送 的 数 
据 包 也 不 能 到 达 目 的 地 。 

@ 在 可 到 达 的 目的 IP 地 址 路 径 中 选择 最 佳 路径 。 到 达 同 一 目的 IP 地 址 可 以 有 多 
条 路 径 ,应 该 选择 最 佳 路 径 。 除 了 上 述 情况 ,对 于 动态 路 由 还 应 该 有 可 以 学 到 路 由 的 资 
源 , 管 理 和 维护 路 由 的 信息 。 


2. 路 由 器 的 安全 设置 
对 于 黑客 来 说 ,利用 路 由 器 的 漏洞 发 起 攻击 通常 是 一 件 比 较 容易 的 事情 ,这 种 攻击 会 


J 


浪费 CPU 周期 ,误导 信息 流量 ,使 网 络 陷于 瘫痪 。 高 端 路 由 器 本 身 具 有 好 的 安全 机 制 来 
保护 自己 ,但 仍然 是 远 远 不 够 的 。 保 护 路 由 器 的 安全 需要 网 管 员 在 配置 和 管理 路 由 器 的 
过 程 中 采取 相应 的 安全 措施 。 堵 住 安全 漏洞 的 措施 之 一 是 限制 系统 物理 访问 ,这 是 确保 
路 由 器 的 安全 最 有 效 的 方法 之 一 。 其 他 的 安全 措施 就 是 禁用 不 必要 的 服务 。 提 供 较 多 的 
路 由 服务 对 用 户 来 说 是 件 好 事 ,但 近来 许多 安全 事件 的 发 生 都 说 明了 禁用 那些 不 必要 的 
本 地 服务 的 重要 性 。 在 路 由 器 上 ,用 户 很 少 需要 运行 除了 路 由 设置 .访问 控制 等 以 外 的 其 
他 服务 ,如 SNMP 和 DHCP, 应 尽量 将 这 些 服务 配置 在 服务 器 上 ,让 路 由 器 专 司 其 职 , 只 
做 它 特长 的 工作 (与 路 由 管理 有 关 的 工作 ) ,除非 绝对 必要 的 时 候 才 启用 这 些 服 务 。 

限制 逮 辑 访问 是 路 由 器 另外 一 项 与 安全 管理 有 关 的 内 容 , 通 过 合理 设置 访问 控制 列 
表 来 实现 。 为 了 避免 路 由 器 成 为 黑客 的 攻击 目标 ,应 该 拒绝 以 下 流量 进入 : 没有 IP 地 址 
的 包 、 有 明确 恶意 地 址 的 包 、 易 产生 不 良 后 果 的 某 些 特定 TCP 服务 端口 的 包 多 播 地 址 以 
及 任何 假冒 内 部 地 址 的 包 。 用 户 还 可 以 利用 出 站 访问 控制 限制 来 自 网 络 内 部 的 流量 。 这 
种 控制 可 以 防止 内 部 主机 发 送 ICMP 流量 ,只 允许 有 效 的 源 地 址 包 离 开 网 络 。 这 有 助 于 
防止 IP 地 址 欺骗 ,减少 黑客 利用 用 户 系统 攻击 另 一 站 点 的 可 能 性 。 


3. 监控 配置 更 改 

用 户 在 对 路 由 器 的 配置 进行 改动 之 后 ,需要 对 其 运行 状态 进行 监控 。 如 果 用 户 使 用 
SNMP( 简 单 网 络 管理 协议 ) 进 行 远程 管理 和 配置 ,要 注意 登录 时 的 保密 性 。 如 果 不 通过 
SNMP 管理 对 设备 进行 远程 配置 ,用 户 最 好 将 SNMP 设备 配置 成 只 读 ,拒绝 对 这 些 设备 
进行 写 访问 ,这 样 就 能 防止 黑客 改动 配置 。 但 是 ,进入 管理 和 配置 状态 时 的 安全 性 永远 是 
首先 要 考虑 的 。 为 进一步 确保 安全 管理 ,用 户 可 以 使 用 SSH 等 加 密 机 制 ,利用 SSH 与 路 
由 器 建立 加 密 的 远程 会 话 。 

4. 实施 配置 管理 

配置 好 的 路 由 器 文件 直接 用 于 运行 并 影响 运行 效果 ,此 外 还 必须 保存 好 配置 文档 。 
应 该 有 存放 、 检 索 及 更 新 路 由 器 配置 的 配置 管理 策略 ,并 将 配置 备份 文档 妥善 保存 在 安全 
的 服务 器 或 者 可 靠 的 存储 介质 上 ,以 备 新 配置 遇 到 问题 时 ,用 户 需 要 更 换 、 重 装 或 恢复 到 
原来 的 配置 。 

由 于 路 由 器 配置 文件 是 影响 路 由 器 工作 的 核心 文件 ,除了 要 保证 路 由 器 的 正常 运行 
外 ,必须 妥善 保存 。 配 置 文件 通常 位 于 RAM,NVRAM 或 TFTP 服务 器 上 ,RAM 中 的 
配置 文件 影响 当前 运行 状态 ,NVRAM 中 的 配置 文件 影响 路 由 器 启动 后 的 运行 状态 ， 
TFTP 则 用 于 存放 配置 文件 的 备份 。 

注意 : copy running-config startup-config 命令 执行 后 会 覆盖 掉 原 来 的 旧 配 置 文件 ， 
所 以 最 好 做 好 旧 文 件 的 备份 。 在 进行 任何 更 改 之 前 ,应 细 化 操作 规程 ,以 防 新 的 配置 不 正 
常 时 恢复 为 原来 的 状态 。 
5.1.1 路 由 器 的 常用 命令 


1. IP 路 由 过 程 简介 

下 面 通过 最 简单 的 两 个 子 网 来 说 明 IP 路 由 的 过 程 。 在 图 5-1 中 可 以 看 到 ,主机 A 的 
接口 和 路 由 器 的 e0 接口 都 属于 192. 168. 1.0 的 网 段 ,而 主机 B 的 接口 和 路 由 器 的 el 接 
口 都 属于 192. 168. 2.0 的 网 段 。 配 置 之 前 路 由 器 将 两 个 网 段 隔 开 , 经 过 合理 的 配置 后 将 
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主机 A 接 口 主机 B 接 口 
IP:192.168.1.10 IP:192.168.23 全 


一 一 数据 包 P 一 一 


路 由 器 e0 接 口 mad 路 由 器 el 接口 


IP:192.168.1.1 IP:192.168.2.1 
图 5-1 路 由 器 连接 两 个 不 同 的 网 段 


两 个 网 段 连 通 。 

当主 机 A 发 送 数 据 包 P 时 ,其 目的 地 址 是 主机 B。 如 果 没 有 路 由 器 指定 路 由 或 者 通 
过 三 层 交 换 机 转发 数据 包 , 是 不 能 够 将 数据 包 发 送 到 主机 B 的 ,因为 两 个 主机 分 属于 不 
同 的 网 段 。 当 路 由 器 内 部 设置 好 路 由 时 ,才能 将 两 个 网 段 连 通 。 

下 面 简 述 数据 包 P 被 路 由 的 过 程 。 主 机 A 首先 在 应 用 层 上 发 送 数据 包 , 目 的 地 指向 
主机 B, 但 是 要 先 经 过 主机 A 送 到 传输 层 , 并 被 分 为 数据 段 再 送 到 下 层 的 网 络 层 。 在 网 
络 层 上 ,要 将 数据 段 封装 为 数据 包 , 其 中 最 重要 的 部 分 就 是 IP 包头 , 源 IP 地 址 和 目的 IP 
地 址 都 包含 在 内 。 路 由 器 通过 检查 IP 包头 的 源 IP 地 址 和 目的 IP 地 址 ,判断 这 个 数据 包 
从 哪里 来 ,到 哪里 去 。 这 里 对 数据 包 P 的 源 地 址 是 主机 A 的 IP 地 址 192.168.1.10, 目 的 
地 址 是 主机 B 的 IP 地址 192.168.2.3。 数 据 包 从 主机 A 向 下 送 至 数据 链 路 层 后 ,还 要 将 
数据 封装 成 帧 ,其 中 包含 源 MAC 地 址 和 目的 MAC 地 址 。 源 MAC 地 址 仍然 是 主机 A 
的 ,但 是 应 该 引起 注意 的 是 ,目的 MAC 地 址 却 不 是 主机 B 的 ,这 一 点 要 格外 清楚 。 因 为 
两 个 主机 在 不 同 的 网 段 , 不 可 能 通过 链 路 直接 送 给 主机 B, 主 机 A 发 送 的 数据 包 传送 的 
目的 地 址 不 在 本 网 段 ,必须 经 过 路 由 器 才 行 ,就 将 目的 地 指向 本 网 段 的 网 关 , 这 个 网 关 就 
是 路 由 器 的 e0 接口 的 IP 地 址 ,因此 ,数据 包 下 一 步 传送 的 接口 应 该 是 路 由 器 的 e0 接口 ， 

与 其 IP 地 址 192. 168. 1. 1 对 应 的 MAC 地 址 也 应 该 是 路 由 器 的 e0 口 的 MAC 地址。 在 
这 个 过 程 中 进行 数据 帧 的 封装 , 即 数据 包 加 上 了 源 MAC 地 址 .目的 MAC 地 址 和 校 
验 码 。 

在 主机 A 上 应 该 进行 如 图 5-2 所 示 的 配置 ,才能 保证 不 在 本 网 段 的 数据 包 通过 网 关 
送出 去 。 当 数据 帧 P 送 到 路 由 器 的 e0 接口 后 , 先 被 放 在 缓存 中 进行 校 验 以 确定 数据 帧 在 
传输 过 程 中 没有 损坏 ,然后 去 掉 数 据 帧 头 部 的 MAC 地 址 和 校 验 码 ,取出 数据 包 P。 接 
着 ,路 由 器 将 数据 包 的 包头 送 往 路 由 处 理 器 ,路 由 处 理 器 会 读 取 其 中 的 目的 地 址 ,然后 在 
自己 的 路 由 表 中 查找 是 否 存 在 它 所 在 网 段 的 路 由 。 路 由 表 是 把 数据 传 到 目的 地 的 依据 ， 
只 有 数据 包 将 要 发 送 到 的 目的 网 段 存 在 于 路 由 器 的 路 由 表 中 ,数据 包 才 能 被 发 送 到 目 
的 地 。 

当 路 由 器 中 的 路 由 表 指明 192. 168. 2. 0 网 段 是 其 中 一 个 目标 网 段 时 ,数据 包 可 以 到 
达 这 个 网 段 对 应 的 路 由 器 的 el 接口 ,并 从 这 里 发 出 去 。 真 正 发 出 的 地 址 是 el 的 IP 地 址 
对 应 的 MAC 地 址 ,也 就 是 说 数据 包 送 到 el 处 的 源 MAC 地 址 也 是 路 由 器 的 el 接口 的 
MAC 地 址 ,而 目的 地 址 则 是 主机 B 的 MAC 地 址 ,这 个 地 址 由 路 由 器 根据 ARP 协议 解析 
得 到 存在 缓存 内 。 数 据 包 向 下 进入 数据 链 路 层 ,构成 了 发 向 主机 B 的 数据 帧 。 

主机 B 收 到 数据 帧 后 ,将 其 目的 MAC 地 址 与 自己 的 MAC 地 址 对 照 ,核对 正确 后 ， 


Internet 协议 (ICP/IP) 属性 


© 自动 获得 IP 地 址 @) 
使 用 下 面 的 IP 地 址 @) 
JIP 地 址 加 ): 
子 网 掩 码 QD) 
默认 网 关中); 


品目 动 获得 DNS 服务 器 地 址 @) 

使 用 下 面 的 DRS 服务 器 地 址 E); 
首选 DRS 服务 器 邓 ): 
备用 DNS 服务 器 由) : 


图 5-2 ”192. 168. 1. 10 主机 的 配置 


再 校 验 数据 帧 是 否 被 破坏 ,证 明 数 据 完整 后 ,主机 B 会 拆 掉 封 装 , 将 数据 包 取 出 ,向 上 送 
给 网 络 层 处 理 ,再 逐 层 向 上 直至 应 用 层 。 

整个 过 程 简单 总 结 为 : 在 正常 情况 下 ,数据 从 一 台 主 机 传送 到 另 一 台 主 机 时 ,数据 包 
本 身 没有 变化 , 源 IP 地 址 和 目标 IP 地 址 也 没有 变化 。 但 是 ,在 数据 链 路 层 进行 数据 帧 封 
装 时 ,MAC 地 址 会 在 每 经 过 一 台 路 由 器 时 发 生变 化 ,数据 帧 内 的 MAC 地 址 直接 与 路 由 
器 接口 有 关 ,路 由 器 的 MAC 地 址 决定 了 数据 的 走向 。 


2. 路 由 器 的 连接 和 启动 

路 由 器 的 启动 与 交换 机 基本 一 样 , 但 是 路 由 器 本 身 的 接口 较 少 ,各 个 接口 都 有 自己 的 
特殊 用 途 ,在 接 人 到 网 络 之 前 应 该 仔细 阅读 设备 说 明 书 和 使 用 方法 。 另 外 ,路 由 器 只 有 经 
过 至 少 最 基本 的 配置 后 才能 用 于 连接 网 络 ,这 一 点 与 交换 机 不 同 ,因为 即便 是 可 网 管 的 智 
能 交换 机 也 可 以 不 用 配置 作为 “傻瓜 ?交换 机 使 用 。 

在 启动 之 前 ,必须 使 路 由 器 与 其 他 网 络 设备 如 交换 机 等 连接 ,然后 进行 配置 ,才能 启 
动 电源 开机 。 路 由 器 与 其 他 设备 接口 的 连接 方式 已 经 在 第 2 章 中 详细 介绍 ,这 里 重点 介 
绍 配置 接口 的 连接 。 

由 于 路 由 器 必须 进行 配置 才能 使 用 ,最 基本 的 配置 连接 是 用 一 条 全 反 线 (也 称 为 反 转 
线 ) ,将 路 由 器 端的 Console 接口 (RJ-45 , 背 板 标 有 Console) 与 另 一 端 通过 RJ-45 到 DB-9 
或 DB-25 的 转换 器 接 人 到 计算 机 或 笔记 本 电脑 的 串 行 口 ,通过 计算 机 对 路 由 器 进行 配 
置 。 这 种 配置 方法 是 所 有 路 由 器 必须 经 过 的 过 程 , 因 为 初始 配置 必须 用 这 种 方法 ,通过 接 
入 Console 口 的 计算 机 或 笔记 本 电脑 的 超级 终端 或 其 他 终端 仿真 软件 与 路 由 器 进行 通 
信 ,完成 路 由 器 的 配置 。 此 外 还 可 以 用 路 由 器 的 AUX 口 通过 Modem 配置 路 由 器 。 如 果 
路 由 器 已 经 实现 了 基本 配置 ,能 够 运行 并 接 人 网 络 或 者 至 少 有 一 个 接口 可 以 联网 的 话 ,一 
般 采 用 远程 运行 计算 机 的 Telnet 程序 或 类 似 工 具 作为 路 由 器 的 虚拟 终端 (VTY ) 与 路 由 
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器 建立 通信 ,实现 对 路 由 器 的 配置 。 所 以 一 般 的 原则 是 “初始 配置 用 Console, 更 改 配置 
用 Telnet”。 还 有 一 种 比较 重要 的 配置 就 是 TFTP, 这 是 一 个 TCP/IP 的 简单 文件 传输 协 
议 , 可 以 将 配置 好 的 文件 传送 到 TFTP 服务 器 上 ,也 可 以 将 配置 文件 从 TFTP 服务 器 传 
送 到 路 由 器 上 ,这 非常 有 利于 做 配置 文件 的 备份 ,否则 ,路 由 器 内 部 的 配置 文件 损坏 将 会 
带 来 巨大 损失 ,做 好 备份 是 非常 重要 的 。 这 几 种 配置 方法 如 图 5-3 所 示 。 


蕊 超级 终端 
Console 接 口 
AUX 接 口 ea VTY0-4 


TFTP 服务器 


色 


路 由 器 交换 机 人 对 应 Telnet 命 令 
Modem 
入 > 远程 网 管 工作 站 
< 远程 网 管 工作 站 


图 5-3 不 同 接口 配置 的 连接 


路 由 器 的 启动 并 不 复杂 ,只 是 工作 的 前 期 准备 或 配置 复杂 一 点 。 一 定 要 注意 各 种 连 
线 是 否 正确 ,因为 路 由 器 都 是 接 在 网 络 主干 上 ,而 且 接口 大 都 是 不 可 热 插 拔 的 ,一 旦 拔 下 
接口 端 ,整个 网 络 就 会 受到 影响 。 在 仔细 检查 完 路 由 器 连 线 无 误 之 后 ,可 以 把 电源 线 插头 
插入 ,并 打开 路 由 器 的 电源 开关 , 接 通路 由 器 。 接 通 后 ,在 开机 自 检 后 ,需要 一 段 时 间 完 成 
启动 流程 ,可 以 通过 Console 口 看 到 路 由 器 的 一 些 信息 。 路 由 器 的 启动 流程 如 图 5-4 
所 示 。 


加 电 自 检 


1 
引导 加 载 


下 
检查 配置 


1 
寻找 操作 系统 | 一 ~ 人 设置 模式 


| 找到 | | 
加 载 操作 系统 加 载 配 置 文件 初始 化 设置 


图 5-4 路 由 器 的 启动 流程 


3. 路 由 器 的 基本 命令 
路 由 器 最 为 常见 的 基本 命令 有 以 下 几 个 。 
(1) config terminal 或 conf t 


进入 全 局 设置 状态 ,原理 与 交换 机 相同 。 


ww 


J 


(2) show running-config 

此 命令 可 简化 为 sh ru( 注 : 以 下 命令 与 此 类 似 ,不 再 一 一 举例 ,读者 可 以 在 实际 操作 
时 多 练习 以 提高 输入 命令 的 效率 )。 此 命令 的 功能 是 查看 在 路 由 器 内 存 中 运行 的 配置 结 
果 , 这 是 一 个 经 常 使 用 的 命令 ,因为 能 够 了 解 路 由 器 当前 的 运行 状态 ,特别 是 在 排除 故障 
和 了 解 设备 的 配置 情况 时 使 用 得 最 多 。 例 如 


Router# show runningrconfig 

Building configuration... 

Current configuration: 

1 

Version 12.0 

service config 

service timestamps debug uptime 

service timestamps log uptime 

// 提 供 配置 服务 ,并 为 debug 和 log 设 置 时 间 截 ,便于 排 错 
service password-encryption 

!// 有 设置 口令 加 密 功 能 

hostname CISCO2611 

!// 设 置 的 路 由 器 主机 名 为 cIsco2611 

enable secret 5 $1$MJrb$ o3NCu6DPwG/TGFBT7xiLV/ 
!// 加 了 enable 密 文 加 密 , 路 由 器 显示 为 乱码 

ip subnet-zero 

!// 允 许 为 0 子 网 

ip domain-name noko.com 

1// 所 在 网 络 的 域名 

ip name-server 202.102.224.1 

1// 所 在 网 络 的 DNs 服务 器 地 址 

interface Ethernet0/0 

ip address 202.102.224.25 255.255.255.0 

!1// 路 由 器 Ethernet0/0 接 口 的 IP 地址 和 子 网 掩 码 
interface serial0/0 

ip address 202.102.211.108 255.255.255.248 

1// 路 由 器 serial0/0 接 口 的 IP 地址 和 子 网 掩 码 
ip classless 

!// 无 类 路 由 ,告诉 路 由 器 当前 的 网 络 没 有 出 现在 路 由 表 中 时 通过 默认 路 由 转发 数据 包 
ip default-network 0.0.0.0 

ip route 0.0.0.0 0.0.0.0 202.102.211 

!V/ 在 地 址 为 202.102.211 的 路 由 器 上 建立 默认 路 由 
no ip http server 


1// 路 由 器 禁用 HTTP 服务 


line console 0 
1// 允 许 控 制 台 console 配置 模式 


exec timeout 1 0 
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!// 为 控制 台 console 连 接 设 置 超时 时 限 为 1 分 0 秒 

password 7061C0731 

LV// 控 制 台 连接 登录 密码 为 7061C0731 

login 

1// 允 许 控 制 台 接口 登录 

line vty0 4 

!1// 进 入 VIY (Telnet) 接 口 配 置 模式 

access-class 2 in 

1// 访 问 等 级 2 级 

password 7131F1F02 

!//VTY (Telnet) 连 接 登 录 密 码 为 7131F1F02 

login 

1// 允 许 VIY (Telnet) 连 接 登 录 

end 

以 上 是 使 用 show running-config 命令 查看 路 由 器 的 当前 配置 ,为 了 便于 理解 ,在 符 
号 !// 后 加 了 注释 。 此 命令 也 可 以 简化 为 show run。 若 要 查看 保存 在 NVRAM 中 的 配 
置 ,需要 使 用 show startup-config 命令 。 

(3) show interfaces 

使 用 这 个 命令 可 以 查看 路 由 器 各 个 接口 的 状态 ,如 果 加 了 参数 ,可 以 查看 某 一 个 接口 
的 状态 。 比 如 show interface ethernet 0 是 指 查看 路 由 器 的 0 号 以 太 网 接口 的 状况 。 

(4) no shutdown 

路 由 器 接 人 网 络 的 接口 在 没有 配置 时 是 没有 被 激活 的 , 即 处 于 shutdown 状态 。 当 
然 有 时 候 网 管 人 员 为 了 需要 也 会 将 某 个 接口 “关闭 ”而 使 其 处 于 shutdown 状态 ,这 时 接 
口 不 能 使 用 。 要 想 使 用 这 个 接口 ,就 必须 先进 入 这 个 接口 ,再 将 其 激活 。 如 对 ethernet0 
的 配置 如 下 ; 


Router# conf t 
Router (config)# interface ethernet 0 
Router (config if)#no shutdown 


这 样 路 由 器 的 ethernet 0 接口 就 被 激活 ,可 以 使 用 了 。 

(5) hostname name 

这 个 命令 用 来 给 路 由 器 起 一 个 网 络 上 容易 识别 的 名 称 , 特 别 是 网 络 中 有 较 多 路 由 器 
时 就 更 加 重要 。 例 如 : 

Router (config)#hostname netl 

netl (config)# 

这 样 原来 路 由 器 默认 的 名 称 Router 就 被 改 为 netl ,便于 在 网 络 上 识别 。 

(6) enable password word 和 enable secret word 

路 由 器 的 密码 有 两 类 ,一 类 是 enable 密码 ,用 于 验证 用 户 是 否 有 配置 路 由 器 的 权限 ， 
对 应 的 是 enable 命令 密码 。 另 一 类 是 配置 线路 上 的 密码 ,用 于 验证 用 户 是 否 有 通过 该 线 
路 登录 的 权限 ,对 应 的 是 password 命令 密码 。 


和 ~、 


区 


enable 密码 又 有 两 种 : 明文 的 和 密 文 的 。 前 一 种 可 以 通过 show running-config 命令 
看 到 密码 内 容 , 对 应 于 命令 enable password word; 后 一 种 用 这 个 命令 看 到 的 是 乱码 ,对 
应 于 命令 enable secret word。 例 如 : 


Router (config)#enable secret n3e5t7 


给 路 由 器 施加 密 文 密码 为 n3e5t7, 当 从 用 户 模 式 进 入 特权 模式 时 会 提示 输入 密码 ， 
而 且 加 了 密 文 密码 后 ,明文 密码 就 会 失效 。 
Password 密码 命令 实例 如 下 : 


Router (config)#1ine console 0 
Router (config- line)#1o0gin 
Router (config line)#password n3e5t7 


这 组 命令 用 于 控制 从 Console 线 配 置 路 由 器 时 ,进入 用 户 模式 前 必须 输入 密码 
n3e5t7 才能 获得 通过 这 条 线 配置 路 由 的 权限 。 另 外 一 个 例子 是 针对 远程 配置 (通过 
Telnet) 的 ,举例 如 下 : 


Router (config)#1ine vty 0 4 
Router (config-line)# login 
Router (config-line)#password n3e5t7 


这 组 命令 使 得 在 远程 的 计算 机 上 通过 Telnet 命令 配置 路 由 器 时 ,必须 输入 密码 
n3e5t7 才 有 权限 配置 路 由 器 。 
(7) ip address address subnet-mask 


这 个 命令 用 于 给 某 个 接口 添加 IP 地 址 和 子 网 掩 码 。 实 例如 下 : 


Router# conf t 
Router (config)# interface ethernet 0 
Router (config -if)#ip address 192.168.1.3 255.255.255.0 


以 上 命令 执行 后 为 接口 ethernet 0 分 配 IP 地 址 为 192. 168. 1. 3, 子 网 掩 码 为 255. 
255. 255.0。 命 令 也 可 以 简化 为 : ip add 192. 168. 1. 3 255. 255. 255.0, 效 果 是 一 样 的 。 

(8) ip route destination subnet-mask next-hop 

这 是 静态 路 由 配置 命令 ,通过 网 络 管理 员 手 动 配置 路 由 器 的 路 由 表 中 的 路 由 ,静态 路 
由 比 动态 路 由 有 更 高 的 优先 级 别 。 其 中 destination 是 指 通 过 本 路 由 器 连接 到 的 下 一 个 
网 段 IP,subnet-mask 是 指 这 个 网 段 的 子 网 掩 码 ,而 next-hop 是 指 由 本 路 由 器 指向 下 一 个 
路 由 器 接口 (下 一 跳 ) 的 IP。 下 面 举例 说 明 。 

例 5-1 如 图 5-5 所 示 主 机 A 是 属于 企业 局 域 网 (网 段 为 192. 168. 1. 0 255. 255. 255. 
0) 内 部 的 计算 机 ,要 想 访问 外 网 必须 通过 路 由 器 BB 的 s0 接口 (172. 16. 1.2.255. 255. 255. 
252), 它 连接 的 另 一 端的 接口 是 外 网 路 由 器 A 的 接口 s0(172. 16. 1. 1 255. 255. 255. 
252) 。 在 配置 路 由 器 时 应 该 注意 的 是 ,由 于 路 由 器 连接 的 是 两 个 不 同 的 子 网 ,所 以 必须 对 
两 个 连接 的 路 由 器 都 要 配置 路 由 , 即 路 由 设置 是 双向 的 。 

首先 ,在 路 由 器 A 上 为 企业 内 部 网 配置 静态 路 由 ,命令 如 下 : 
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RouterRA (config)# ip route 192.168.1.0 255.255.255.0 172.16.1.2 


S0:172.16.1.1 
255.255.255.252 


S0:172.16.1.2 


0:192.168.1.1 
255.255.255.252| 。 路 由 器 B 5 


255.255.255.0 


图 5-5 网 络 结构 


以 上 命令 的 含义 是 : 对 路 由 器 A 而 言 ,给 定 了 一 条 路 径 , 当 数据 包 的 目的 地 址 是 
192. 168. 1.0,255. 255. 255. 0 网 段 时 ,通过 下 一 跳 的 路 由 器 B 的 接口 172. 16. 1.2 传送 。 

在 另 一 侧 的 路 由 器 B 上 也 要 配置 静态 路 由 ,但 是 由 于 网 段 192. 168. 1.0 内 接 了 很 多 
计算 机 ,来 自 不 同 计算 机 传送 的 数据 包 的 目的 地 址 是 不 一 样 的 ,因此 ,虽然 经 由 路 由 器 B 
传送 的 下 一 跳 是 路 由 器 A(172. 16. 1. 1) ,但 是 目的 地 址 不 可 能 指定 某 一 个 网 段 ,所 以 在 路 
由 器 B 上 指定 静态 路 由 的 命令 如 下 : 


RouterB (config)# ip route 0.0.0.0 0.0.0.0 172.16.1.1 
RouterB (config)# ip classless 


这 组 命令 的 含义 是 : 第 一 句 表示 来 自 于 企业 局 域 网 内 部 所 有 计算 机 主机 发 出 的 数据 
包 , 凡 是 在 路 由 器 B 的 路 由 表 中 没有 找到 应 到 达 目 的 网 段 明 确 目的 地 址 的 ,全 都 发 向 路 
由 器 B 的 默认 网 关 路 由 器 A(172. 16. 1. 1) , 即 选 定 了 默认 路 由 。 在 大 多 数 专线 企业 一 端 
的 路 由 器 上 一 般 都 会 有 这 条 配置 ,通常 这 是 一 种 方便 而 实用 的 配置 ,相对 来 说 路 由 的 走向 
也 比较 确定 ,但 是 安全 程度 会 差 一 些 。 第 二 句 是 一 个 无 类 路 由 命令 ,用 来 告诉 路 由 器 当前 
的 网 络 没有 出 现在 路 由 表 中 时 ,通过 默认 路 由 转发 数据 包 。 虽 然 一 般 情 况 下 ,没有 这 条 命 
令 默 认 路 由 也 正常 工作 ,因为 大 多 数 路 由 器 的 IOS 都 默认 这 条 命令 有 效 , 但 加 了 它 保 障 
性 会 更 好 。 

在 介绍 了 路 由 器 的 路 由 基本 过 程 、 启 动 和 基本 命令 后 .下面 将 结合 路 由 器 的 配置 实例 
讲解 如 何 完 成 网 管 人 员 经 常 需要 做 的 与 路 由 器 有 关 的 配置 方法 。 
5.1.2 路 由 器 的 配置 


1. 路 由 器 的 初始 配置 

新 购买 的 路 由 器 是 没有 配置 文件 的 ,需要 进行 初始 配置 。 在 Console 口 通过 计算 机 
的 COM 口 与 路 由 器 相连 完毕 ,两 者 都 打开 电源 ,通过 计算 机 的 超级 终端 就 可 以 对 路 由 器 
进行 初始 配置 。 路 由 器 开机 的 流程 可 以 通过 图 5-4 进行 了 解 ,但 是 初始 使 用 时 必须 经 过 
初始 化 配置 。 

如 果 是 一 台 全 新 的 机 器 ,没有 配置 文件 ,路 由 器 会 进入 一 个 自动 对 话 式 配置 状态 。 这 
种 配置 方式 称 为 对 话 式 初始 配置 方式 , 它 会 向 用 户 提 出 许多 问题 ,回答 完毕 配置 也 就 完 
成 。 也 可 以 跳 过 它 , 以 后 自己 再 用 命令 一 条 条 地 配置 。 也 可 以 在 提示 符 下 ,输入 setup, 再 


次 进入 对 话 式 配置 状态 。 
基本 过 程 如 下 (不 同 的 路 由 器 可 能 会 有 所 差别 ,但 是 原理 是 一 样 的 ,配置 过 程 也 一 并 
说 明 ) : 


System Bootstrap,Version 11.1 (20)AA2,FARLY DEPLOYMENT RELEASE SOFTWARE (fcl) 
Copyright (c) 1999 by CISCO Systems, Inc.C3600 processor with 32768 Kbytes of main memory Main 
memory is configured to 64 bit mode with parity disabled 
program load complete,entry point: 0x80008000, size: 0x4ed478 Self decompressing the image: 
大 拓 提 大 拓 提 提 拓 提 提 拓 拓 提 拓 提 堪 拓 提 拓 拓 提 划 拓 拓 提 拓 提 堪 拓 拓 并 # 拓 划 拓 拓 划 拓 关 提 拓 拓 并 # 拓 提 拓 划 # 关 提 # 拓 并 并 并 提 # 拓 并 并 并 提 # 并 # 

[OK] 
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CISCO Systems, Inc. 

170 West Tasman Drive 


San Jose,California 95134-1706 


CISCO Internetwork Operating System Software 

IOS (tm) 3600 Software (C3640-I-M) ,Version 12.1 (2)T,RELEASE SOFTWARE (fc1) 
Copyright (c) 1986-2000 by CISCO Systems, Inc. 

Compiled Tue 16 May 00 12:26 by ccai 

Image text-base: 0x600088F0,data-base: 0x60924000 


CISCO 3640 (R4700)processor (revision 0x00)with 24576K/8192K bytes of memory. 
Processor board ID 25125768 

R4700 CPU at 100Mhz, Implementation 33,Rev 1.0 

Bridging software. 

X.25 software,Version 3.0.0. 

2 FastEthernet/IEEE 802.3 interface (s) 

1 Serial network interface (s) 

DRAM configuration is 64 bits wide with parity disabled. 

125K bytes of non-volatile configuration memory. 

8192K bytes of processor board System flash (Read/Write) 

// 以 上 是 加 电 自 检 、 版 本 号 、 装 载 Ios 等 信息 ,可 以 获得 当前 路 由 器 的 一 些 有 用 信息 
// 以 上 信息 只 供用 户 了 解 , 初 始 化 配置 时 不 会 更 改 

-一 System Configuration Dialog— 

// 开 始 进入 初始 化 对 话 状 态 

Would you like to enter the initial configuration dialog? [yes/no]:y 

// 是 否 进 入 初始 化 配置 对 话 , 选 Y 
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At any point you may enter a question mark '?" for help. 

Use ctrl-c to abort configuration dialog at any prompt. 

Default settings are in square brackets ' [] '.Basic management setup configures only 
enough connectivity 

for management of the system,extended setup will ask you 

to configure each interface on the system 

// 默 认 设置 放 在 方 括号 内 ,扩展 配置 将 根据 每 个 接口 设置 

Would you like to enter basic management setup? [yes/no]: n 

// 是 否 进入 基本 管理 设置 , 选 n 

First,would you like to see the current interface summary? [yes]: Y 
// 首 先 ,是 否 看 一 下 当前 接口 状态 , 选 y 

Any interface listed with OK? value "NO" does not have a valid configuration 
Interface IP-Agddress OK? Method Status Protocol 
FastEthernet0/0unassigned NO unset up down 

Serial0/0 unassigned NO unset down down 

FastEthernet0/lunassigned NO unset up down 

// 以 上 显示 当前 路 由 器 各 接口 状态 

Configuring global parameters: 

Enter host name [Router]: RouterA 

// 输 入 路 由 器 的 名 字 , 本 例 为 路 由 器 起 名 为 RouterR 

The enable secret is a password used to protect access to 
privileged EXEC and configuration modes. This password,after 
entered, becomes encrypted in the configuration. 

Enter enable secret: Rlo2u3terA 

// 输 入 密 文 的 enable 密码 , 设 定 为 Rio2u3tera, 设 定 完 后 明文 的 enable 密码 会 不 起 作用 。 
// 密 文 的 enable 密码 也 可 以 不 设 定 , 只 设 定 明文 的 enable password 密 码 , 但 这 样 安全 程度 低 。 
The enable password is used when you do not specify an 

enable secret password,with some older software versions,and 

some boot images. 

Enter enable password: RouterAl23 

// 输 入 明文 密码 为 RouterA123 

The virtual terminal password is used to protect 

access to the router over a network interface. 

Enter virtual terminal password: RouterC 

// 输 入 虚拟 终端 的 密码 为 Routerc, 以 备 远 程 登录 

Configure SNMP Network Management? [yes]: y 

// 是 否 配 置 简单 网 管 协议 支持 的 网 络 管理 , 选 了 

Configure IP? [Yes] : Y 

// 是 否 配置 ITP, 选 了 

Configure IGRP routing? [yes]: n 

// 是 否 配 置 IGRP 路 由 选择 协议 , 选 N 

Configure RIP routing? [no]: 

// 是 否 配 置 RIP 路 由 选择 协议 , 选 N 

Configure bridging? [no]: 


// 是 否 配置 桥接 , 选 N 

Rsync lines accept incoming modems calls. If you will have 
users dialing in via modems,configure these lines. 

Configure Async lines? [yes] : n 

// 是 否 配 置 异步 线路 , 选 N 

Configuring interface parameters: 

Do you want to configure FastEthernet 0/0 interface? [yes]: y 
// 是 否 配 置 fastethernet 0/0 接 口 , 选 了 

Use the 100Base-TX (RJ 45) connector? [yes]: y 

// 是 否 用 RJ45 的 连接 器 , 选 Y 

Operate in full-duplex mode? [no]: Y 

// 是 否 选 用 全 双 工 模式 , 选 Y 

Configure IP on this interface? [yes]: Y 

// 是 否 在 这 个 接口 上 配置 IP, 选 Y 

IP agddress for this interface: 192.168.0.1 

// 配 置 该 接口 的 IP 地址 地 址 为 192.168.0.1) 

Subnet mask for this interface [255.255.255.0] : 

// 配 置 该 接口 的 子 网 掩 码 默认 的 是 255.255.255.0, 可 以 手动 输入 修改 ) 
Class C network is 192.168.0.0,24 subnet bits; mask is /24 

Do you want to configure Serial 0/0 interface? [yes]: Y 

// 是 否 配置 serial 0/0 接 口 , 选 了 

Some supported encapsulations are 
Ppp/hdlc/frame-relay/lapb/x25/atm dxi/smds 

Choose encapsulation type [hdlc]: 

// 选 择 封装 方式 ,默认 的 封装 方式 是 HDLC, 可 根据 与 路 由 器 相连 的 封装 类 型 来 决定 用 什么 样 的 封 
// 装 类 型 

No serial cable seen. 

Choose mode from(dce/dte) [dte] : 

// 因 为 没有 连 串口 线 , 所 以 选择 设备 类 型 

Configure IP on this interface? [Yes]: Y 

// 在 接口 上 配置 IP 

IP address for this interface: 172.16.0.5 

// 配 置 该 接口 的 IP 地 址 (地址 为 172.16.0.5) 

Subnet mask for this interface [255.255.0.0] : 255.255.255.252 
// 配 置 该 接口 的 子 网 掩 码 (默认 的 是 255.255.0.0, 可 以 手动 输入 修改 为 255.255.255.252) 
Class B network is 172.16.0.0,30 subnet bits; mask is /30 

// 以 下 配置 同上 

Do you want to configure FastEthernet 0/1 interface? [yes]: 
Use the 100Base-TX (RJ-45) connector? [yes]: 

Operate in full-duplex mode? [no]: Y 

Configure IP on this interface? [yes]: y 

IP address for this interface: 172.16.0.9 

Subnet mask for this interface [255.255.0.0] : 255.255.255.252 Class B network is 172.16.0.0, 
30 subnet bits; mask is /30 


The following configuration command script was created: 
// 配 置 结果 显示 如 下 

hostname RouterA 

enable secret 5 $1$ul/V$ ezbZFgvzGHD.YPSieCOEw/ 
enable password RouterR123 

line vty0 4 

password RouterC 

no snmp server 

! 

ip routing 

no bridge 1 

1 

interface FastEthernet 0/0 

media-type 1l00Base-X 

full-duplex 

ip adqdress 192.168.0.1 255.255.255.0 

! 

interface Serial 0/0 

encapsulation hdlc 

ip address 172.16.0.5 255.255.255.252 

! 

interface FastEthernet 0/1 

media-type 100Base-X 

full-duplex 

ip address 172.16.0.9 255.255.255.252 
dialer-list 1 protocol ip permit 

dialer- list 1 protocol ipx permit 

a 

end 

// 以 下 提示 是 否 保存 这 次 设置 

[0] Go to the IOS command prompt without saving this config. 
[1] Return back to the setup without saving this config. 
[2] Save this configuration to nvram and exit. 
Enter your selection [2]: 2 

// 选 择 2 保存 设置 并 存 人 NVRAM 中 

Building configuration... 


[OK] Use the enabled mode 'configure' command to modify this configuration. 


Press RETURN to get started! 
// 路 由 器 重新 启动 


00:00:08: $LINK-3UPDOWN: Interface Serial 0/0,changed state to down 


00:00:08: $LINK 3 了 UPDOWN: Interface FastEthernet 0/0,changed state to up 


// 接 口 状 态 改 为 down, 表 示 关 闭 ,up 为 启动 
00:03:18: $IP5WEBINST KILL: Terminating DNS process 
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// 终 止 DNS 进程 

00:03:24: % SYS-5-RESTART: System restarted 
// 系 统 重 启 

CISCO Internetwork Operating System Software 
IOS (tm) 3600 Software (C3640-I-M) ,Version 12.1 (2)T,RELEASE SOFTWARE (fcl1) 
Copyright (c) 1986-2000 by CISCO Systems, Inc. 
//IOS 的 厂家 和 版 本 号 

Compiled Tue 16May -00 12:26 by ccai 

// 编 译 人 和 时 间 

RouterR> 

// 进 入 用 户 模式 

RouterR> en 

Password: 

// 输 入 设 定 的 密码 

RouterA# 

// 进 入 全 局 模式 

RouterA# sh run 

// 查 看 现在 运行 的 配置 ,这 个 命令 是 show running-config 的 简化 
Building configuration... 

Current configuration: 

! 

Version 12.1 

service timestamps debug uptime 

service timestamps 1og uptime 

no service password-encryption 

! 

//debug 和 log 时 间 戳 ,不 用 服务 加 密 

hostname RouterR 

// 路 由 器 名 为 RouterR 

! 

enable secret 5 $1$ul/V$ ezbZFgvzGHD.YPSieCOEw/ 
enable password RouterAl23 

// 密 文 密码 和 明文 密码 

! 

memory- size iomem 25 

ip subnet-zero 

// 内 存 大 小 ,支持 0 子 网 

1 

interface FastEthernet 0/0 

ip address 192.168.0.1 255.255.255.0 

speed auto 

full-duplex 

//Fa0/0 接 口 的 IP 地 址 和 子 网 掩 码 、 速 率 、 全 双 工 


! 


interface Serial 0/0 

ip adqdress 172.16.0.5 255.255.255.252 

Clockrate 64000 

//s0/0 接 口 IP 的 地 址 和 子 网 掩 码 ,clockrate 设置 对 应 DcE 设备 的 时 钟 频率 


! 
interface FastEthernet 0/1 
ip address 172.16.0.9 255.255.255.252 


speed auto 
full-duplex 
1 


ip classless 


no ip http server 

! 

dialer-list 1 protocol ip permit 
dialer-list 1 protocol ipx permit 
! 

line con 0 

transport input none 

line aux 0 

line vty0 4 

password RouterC 

login 

! 


end 


至 此 已 完成 了 一 个 新 路 由 器 的 初始 状态 下 的 基本 配置 。 这 里 比较 详细 地 介绍 了 初始 
配置 的 步骤 ,一 方面 有 助 于 读者 了 解 对 完全 没有 配置 的 路 由 器 如 何 开始 操作 , 另 一 方面 ， 
掌握 每 个 步骤 对 以 后 的 应 用 过 程 中 路 由 器 配置 的 更 改 和 重新 配置 都 有 一 定 的 好 处 。 初 始 
配置 完成 后 满足 了 路 由 器 工作 的 最 基本 条 件 , 但 实际 上 路 由 器 在 网 络 环境 中 的 工作 状态 
是 比较 复杂 的 ,必须 针对 实际 情况 做 具体 而 又 详尽 的 进一步 配置 ,这 就 要 求 网 管 人 员 有 较 
扎实 的 网 络 技术 和 较 高 的 IOS 应 用 能 力 ,在 实际 工作 中 更 多 的 是 要 掌握 这 种 能 力 。 下 面 
将 介绍 路 由 器 配置 方面 的 常用 技术 。 


2. 配置 以 太 网 接口 静态 路 由 、 动 态 路 由 

与 初始 配置 相 比 较 , 路 由 器 在 管理 过 程 中 的 配置 是 网 管 人 员 需 要 经 常 操作 的 内 容 。 
由 于 路 由 器 的 配置 比较 复杂 ,尤其 对 于 拓扑 结构 复杂 的 多 路 由 器 网 络 ,路 由 器 配置 更 需要 
较 高 的 网 络 管理 技术 水 平 ,而 且 要 求 有 比较 丰富 的 实际 工作 经 验 才能 够 解决 配置 .调试 和 
运行 过 程 中 的 许多 问题 ,不 过 常规 的 几 项 配置 是 必须 掌握 的 。 

(1) 配置 以 太 网 接口 

路 由 器 连 在 网 络 中 最 常见 的 接口 有 以 太 网 接口 (ethernet) 和 串口 (serial) ,配置 的 方 
法 大 同 小 异 , 下 面 以 以 太 网 接口 为 例 说 明 。 


Router# conf 七 


人 


pe 162 网 络 管 理 与 安全 
Router (config)# interface ethernet 0 


Router (config if)#ip add 202.112.16.13 255.255.255.0 
Router (config if)#no shutdown 
Router (config if)#end 


以 上 命令 用 于 配置 路 由 器 的 以 太 网 接口 ,将 其 IP 地 址 设置 为 202. 112. 16. 13 255. 
255. 255. 0, 并 将 e0 口 激活 。 

(2) 配置 静态 路 由 

参见 图 5-5 对 应 的 实例 。 

(3) 配置 动态 路 由 (以 RIP 协议 为 例 ) 


Router# conf t 

Router (config)#router rip 

Router (config- router)#net 172.16.1.0 
Router (config- router)#net 192.168.1.0 


以 上 命令 用 于 配置 基于 RIP 的 动态 路 由 协议 ,后 两 句 分 别 对 应 路 由 器 的 两 个 接口 连 
接 的 网 段 。 完 整 的 配置 动态 路 由 的 过 程 后 面 会 详细 讲述 。 

3. 调试 

当 路 由 器 配置 完毕 后 ,要 注意 进行 一 次 综合 调试 ,内 容 如 下 : 

Q@ 将 所 有 准备 接 和 人 网 络 的 以 太 网 接口 和 串口 激活 。 方 法 是 进入 对 该 口 的 配置 状态 
执行 命令 no shutdown, 避 免 接口 不 能 使 用 。 

@ 注意 接 和 人 网 络 的 主机 连 在 路 由 器 的 哪个 接口 ,那么 这 个 接口 的 IP 地 址 作为 主机 
接 入 网 络 的 网 关 。 

@ ping 连 好 的 路 由 器 的 各 个 接口 ,分析 检查 状态 ,不 通 的 要 排除 故障 。 

@ 用 Trace 命令 跟踪 路 由 ,分 析 不 通 的 网 段 。 
5.1.3 路 由 器 的 维护 


1. 配置 文件 的 备份 与 恢复 

路 由 器 有 几 种 重要 的 芯片 。RAM 是 路 由 器 的 内 存 , 设 备 启动 后 的 IOS 放 在 其 中 , 配 
置 文件 的 执行 也 从 这 里 调用 ,但 断 电 后 会 消失 。ROM 是 路 由 器 的 只 读 存 储 器 , 它 存储 了 
加 电 自 检 程 序 、Bootstrap 码 、ROM monitor 监视 程序 和 一 个 简单 的 10S。FLASH 是 闪 
存 ,IOS 存放 在 该 芯片 中 。NVRAM 存放 路 由 器 的 启动 配置 ,一 般 执行 copy run startup 
命令 可 以 将 设置 好 的 配置 存 人 NVRAM, 另 外 , 它 还 保存 了 配置 注册 码 。Interfaces 芯片 
主要 控制 路 由 器 接口 。 

对 路 由 器 的 维护 ,要求 运行 中 保证 设备 的 电源 稳定 ,运行 环境 良好 ,连接 状态 良好 ,网 
管 人 员 需 要 检查 设备 状态 。 此 外 ,因为 运行 状态 经 常 根据 需要 变化 ,路 由 器 的 配置 也 会 改 
变 ,一 旦 改变 配置 ,系统 配置 文件 也 发 生变 化 ,如 果 不 做 好 这 方面 的 维护 ,会 造成 不 必要 的 
损失 。 当 然 , 对 交换 机 的 类 似 维护 也 是 基本 相近 的 。 

@ 无 论 是 初始 配置 还 是 管理 性 配置 ,配置 好 的 文件 经 检验 确实 是 将 要 运行 的 后 , 务 
必 做 copy run startup 或 write 的 操作 ,将 结果 存 到 NVRAM 中 ,才能 保证 万 一 断 电 或 者 
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路 由 器 重新 启动 后 配置 好 的 内 容 不 会 丢失 。 

@ 在 更 改 原来 的 配置 之 前 ,应 该 对 原来 的 配置 进行 备份 ,并 进行 记录 。 因 为 在 实际 
运行 中 ,复杂 的 系统 有 可 能 因 某 一 个 小 小 的 失误 造成 整个 网 络 不 能 正常 运行 。 万 一 新 的 
配置 不 能 正常 运行 而 必须 恢复 原来 的 配置 , 留 有 备份 文件 就 显得 非常 重要 。 

@ 设置 好 新 的 配置 之 后 ,也 应 做 文件 的 备份 ,以 防 万 一 路 由 器 发 生 问题 后 恢复 系统 。 

2. 常用 的 保存 和 备份 配置 文件 的 方法 

TFTP 服务 器 是 基于 TFTP 协议 (Trivial File Transfer Protocol) 的 一 个 TCP/IP 下 
的 简单 文件 传输 协议 ,在 网 络 管理 机 上 可 以 构造 一 个 这 种 服务 器 ,把 配置 好 的 协议 传送 到 
这 里 ,作为 文件 的 备份 。 向 TFTP 服务 器 上 复制 文件 时 应 该 确认 路 由 器 或 交换 机 与 
TFTP 服务 器 的 访问 是 否 良 好 ,TFTP 服务 器 是 否 有 足够 的 空间 ,并 且 给 要 复制 的 文件 
辟 专 门 的 文件 夹 , 并 确定 要 复制 的 文件 存放 的 文件 夹 名 称 和 要 保存 的 文件 名 称 。 

除了 TFTP 服务 器 可 以 作为 配置 文件 存放 的 地 方 外 ,还 有 几 个 经 常 存储 配置 文件 的 
地 方 ,就 是 FLASH,NVRAM 和 RAM ,只 不 过 存储 的 效果 和 内 容 不 一 样 。 有 几 种 与 配置 
文件 有 关 的 存储 方式 。 

Q@ 将 内 存 中 的 配置 保存 到 NVRAM 中 ,作为 启动 路 由 器 后 的 配置 ,以 便 重新 启动 时 
可 以 运行 。 命 令 如 下 : 


Router# copy running config startup-config 
或 者 
Router# copy running start 


有 时 经 常会 用 write 命令 ,但 路 由 器 必须 支持 这 个 命令 才 行 。 

@ 把 NVRAM 中 存储 的 启动 配置 复制 到 内 存 中 ,覆盖 正在 运行 的 配置 文件 。 但 要 
注意 的 是 ,这 种 方式 启动 配置 中 有 的 并 且 存 在 于 内 存 中 的 命令 会 被 覆盖 ,但 是 启动 配置 中 
没有 的 而 内 存 中 已 有 的 命令 不 会 被 履 盖 。 


Router# copy startup-config running config 
或 者 
Router# copy start running 


@ 还 有 几 种 将 不 同 的 配置 文件 复制 到 TFTP 服务 器 的 方法 ,命令 如 下 : 


Router# copy running config TETP // 将 内 存 中 的 配置 备份 到 TEFTP 服务器 上 
Router# copy startup-config TETP // 将 NVRAM 中 的 启动 配置 备份 到 TETP 服务 器 上 
Router# copy flash TFTP // 将 闪存 FLASH 中 的 Ios 备份 到 TETP 服务 器 上 


当 设备 出 现 问题 时 ,有 时 需要 从 网 络 中 的 TFTP 服务 器 上 把 备份 的 配置 文件 复制 到 
路 由 器 或 交换 机 上 ,操作 的 命令 如 下 : 
Router# copy TFTP running config // 将 TETP 服务器 上 备份 的 配置 文件 复制 到 内 存 中 


Router# copy TETP startup-config // 将 三 TP 服务 器 上 备份 的 配置 文件 复制 到 NVRaM 中 
Router# copy TFTP flash // 将 TETP 服 务 器 上 备份 的 Ios 复制 到 闪存 FLASH 中 


《< 


J 


以 上 几 个 互相 复制 的 命令 不 仅仅 是 为 了 将 配置 文件 进行 备份 ,防止 配置 文件 的 损坏 
后 设备 不 能 正常 运行 ,更 重要 的 是 保存 完整 的 设备 资料 是 网 络 管理 的 必要 条 件 , 还 可 以 为 
设备 运行 的 故障 处 理 、 系 统 升级 提供 基础 。 比 如 ,CISCO 公司 的 IOS 经 常会 升级 。 如 果 
需要 升级 ,其 中 一 个 方法 就 是 从 网 上 下 载 新 版 本 的 10S。 必 须 先 下 载 到 TFTP 服务 器 , 然 
后 再 用 命令 copy TFTP flash 存 人 闪存 ,才能 完成 升级 过 程 。 

有 时 候 需 要 清除 NVRAM 或 FLASH 中 的 文件 ,命令 如 下 : 


Router# erase start 


Router# erase flash 


但 是 因为 这 两 个 命令 会 清除 路 由 器 运行 的 配置 或 IOS 文件 ,操作 时 要 格外 小 心 ,在 
执行 这 两 个 命令 之 前 一 定 要 先 做 好 配置 文件 的 备份 。 

为 了 更 加 简洁 清晰 地 描述 几 个 备份 命令 的 操作 方法 ,可 以 通过 图 5-6 了 解 它们 之 间 
的 关系 。 


路 由 器 


Copy start running 


RUNNING-CONFIG 
(RAM) 


STARTUP-CONFIG 


se (NVRAM) 


Copy running start 


Copy start tftp Copy tftp start 


Copy flash tftp Copy tftp running 


Copy tftp flash Copy running tftp 


TFTP 服 务 器 
图 5-6 保存 和 备份 配置 文件 的 命令 


5.2 路 由 器 配置 实例 


5.2.1 用 路 由 器 将 两 个 局 域 网 连接 的 方法 

下 面 举例 说 明 两 个 局 域 网 用 路 由 器 并 通过 DDN (数字 数据 网 ) 专 线 互 连 后 实现 两 个 
局 域 网 之 间 的 通信 ,这 里 假设 DDN 中 间 没 有 其 他 的 路 由 器 。 结 构 如 图 5-7 所 示 ,局域网 
LAN_A 在 172. 16. 10. 0/24 网 段 (24 表示 子 网 掩 码 为 255. 255. 255. 0) ,通过 交换 机 
SwitchA 连接 局 域 网 LAN_A,PC_A 是 此 网 中 的 一 台 计 算 机 主机 。 局 域 网 LAN_B 在 
172. 16. 11. 0/30 网 段 (30 表示 子 网 掩 码 为 255. 255. 255. 252) ,通过 交换 机 SwitchB 连接 
局 域 网 LAN_B,PC_B 是 此 网 中 的 一 台 计 算 机 主机 。 两 个 路 由 器 接 入 的 接口 分 别 为 Fa0 
和 s0, 即 为 快速 以 太 网 口 和 串 行 口 。 

由 于 LAN_A 和 LAN_B 不 在 一 个 网 段 , 不 能 直接 通过 交换 机 通信 ,虽然 中 间 经 过 了 
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172.16.10.254/24 Fa0 | 172.16.11.254/24 Fa0 


RouterA RouterB 


172.16.1.1/30s0] [172.16.1.2/30s0 


SwitchA 
172.16.10.1/24 


SwitchB 


172.16.11.1/24 


PC_A PC-B 
LAN_A LAN_B 


图 5-7 用 路 由 器 将 两 个 局 域 网 连接 及 路 由 器 配置 方法 


DDN 专线 ,但 是 实际 实现 两 个 网 络 互联 必须 经 过 路 由 器 RouterA 和 RouterB 才能 保证 
两 个 网 络 有 效 通 信 。 

配置 静态 路 由 必须 对 两 个 路 由 器 都 进行 才 行 , 也 就 是 说 要 配置 某 个 路 由 器 指向 远 端 
或 另 一 端的 路 由 ,也 要 在 远 端 或 另 一 端的 路 由 器 上 配置 返回 的 路 由 ,因为 通信 是 双向 的 。 
下 面 分 别 对 这 两 个 路 由 器 进行 配置 ,虽然 这 两 个 路 由 器 配置 的 格式 有 点 类 似 , 但 是 内 容 却 
是 不 一 样 的 ,尤其 是 静态 路 由 设置 的 命令 需要 仔细 体会 。 


1. 路 由 器 RouterA 的 配置 


Router# conf t 

Router (config)#hostname RouterR 

// 为 路 由 器 改名 为 RouterR 

RouterR (config)# interface fastethernet 0 

// 对 接口 Fa0 配置 

RouterR (config if)#no shutdown 

// 激 活 启 用 Fa0 接口 

RouterRA (config if)#description link to LAN A 

// 对 此 接口 加 入 描述 性 文字 ,知道 此 接口 接 入 LAN A 但 这 一 名 不 被 执行 
RouterA (config if)#ip address 172.16.10.254 255.255.255.0 

// 为 接口 Fa0 配 置 IP 地 址 和 子 网 掩 码 

RouterR (config if)#interface serial 0 

// 转 换 为 串 行 口 s0 配置 ,注意 虽然 提示 符 仍然 是 Routera(config-if), 但 接口 变 为 s0 
RouterR (config if)#no shutdown 

// 激 活 启 用 s0 接口 

RouterRA (config if)#ip address 172.16.1.1 255.255.255.252 

// 为 接口 s0 配置 TP 地址 和 子 网 掩 码 

RouterR (config if)#encapsulation ppp 

// 此 接口 与 男 一 个 路 由 器 RouterB 相连 采用 PPP 的 链 路 封装 协议 
RouterA (config if)#exit 

// 退 回 到 全 局 配置 模式 

RouterA (config)#ip router 172.16.11.0 255.255.255.0 172.16.1.2 
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// 通 过 路 由 器 RouterA 发 出 的 数据 包 走 向 的 下 一 跳 是 路 由 器 RouterB 的 IP 地 址 为 172.16.1.2 


// 的 接口 ,数据 包 转 发 到 172.16.11.0,255.255.255.0 网 段 


2. 路 由 器 RouterB 的 配置 


Router# conf t 

Router (config)#hostname RouterB 

// 为 路 由 器 改名 为 RouterB 

RouterB (config)# interface fastethernet 0 

// 对 RouterB 的 接口 Fa0 配 置 

RouterB (config-if)#no shutdown 

// 激 活 启 用 Fa0 接口 

RouterB (config if)#description link to IAN B 

// 这 一 句 不 被 执行 ,只 是 对 此 接口 加 入 描述 性 文字 ,知道 此 接口 接 入 LAN B 
RouterB (config-if)#ip address 172.16.11.254 255.255.255.0 

// 为 接口 Fa0 配 置 TP 地 址 和 子 网 掩 码 

RouterB (config -if)#interface serial 0 

// 转 换 为 串 行 口 s0 配置 ,注意 虽然 提示 符 仍然 是 RouterB (config-if), 但 接口 变 为 s0 
RouterB (config-if)#no shutdown 

// 激 活 启用 s0 接口 

RouterB (config-if)#ip address 172.16.1.2 255.255.255.252 

// 为 接口 s0 配 置 TP 地 址 和 子 网 掩 码 

RouterB (config-if)#encapsulation ppp 

// 此 接口 与 男 一 个 路 由 器 RouterA 相连 采用 PPP 的 链 路 封装 协议 

RouterB (config -if)#exit 

// 退 回 到 全 局 配置 模式 

RouterB (config)# ip route 172.16.10.0 255.255.255.0 172.16.1.1 

// 通 过 路 由 器 RouterB 发 出 的 数据 包 走 向 的 下 一 跳 是 路 由 器 RouterR 的 IP 地 址 的 172.16.1.1 
// 的 接口 ,数据 包 转 发 到 172.16.10.0,255.255.255.0 网 段 


以 上 命令 完成 了 与 路 由 器 接口 和 静态 路 由 设置 有 关 的 基本 配置 。 配 置 完 成 后 不 要 忘 
记 将 配置 文档 保存 到 NVRAM, 并 且 测 试 连接 的 通畅 性 ,比如 用 PC_A 和 PC_B 互相 
ping, 查 看 是 否 连通 。 在 实际 网 络 配置 中 ,与 路 由 器 配置 有 关 的 内 容 还 有 很 多 ,比如 访问 
控制 列表 、 路 由 器 上 的 网 络 服 务 如 DHCP( 动 态 主 机 配置 协议 )、DNS( 域 名 解析 系统 )、 
HTTP( 超 文本 传输 协议 )、NAT( 网 络 地 址 转换 ) 等 的 设置 都 是 网 络 管理 中 经 常 涉 及 的 内 
容 , 后 面 将 陆续 讲 到 。 
5.2.2 用 路 由 器 接 入 Internet 的 方法 

前 面 的 例子 是 针对 两 个 局 域 网 通过 路 由 器 互 连 实现 互通 ,但 是 对 于 大 多 数 企 业 或 校 
园 网 来 说 ,本 单位 的 网 络 可 以 看 成 是 一 个 大 的 局 域 网 ,然后 再 将 这 个 网 络 的 出 口 与 外 面 的 
网 络 服务 提供 商 (ISP) 的 接口 相连 ,再 接 到 Internet 上 。 为 了 描述 方便 ,如 图 5-8 所 示 的 
LAN_A 是 简化 后 的 企业 局 域 网 或 校园 网 。 

从 图 5-8 中 可 以 看 出 ,与 前 面 的 例子 不 同 的 是 网 管 人 员 只 需要 对 LAN_A 端的 路 由 
器 进行 配置 即 可 ,而 另 一 端的 路 由 器 配置 由 网 络 服务 提供 商 (ISP) 的 网 管 人 员 配 置 ,但 要 
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图 5-8 企业 网 或 校园 网 LAN_A 用 路 由 器 接 入 Internet 


LAN_A 端 提 供 必 要 的 路 由 IP 地 址 。 还 有 就 是 这 里 对 NAT 进行 了 配置 ,因为 大 多 数 情 
况 下 ISP 提供 给 用 户 的 公共 IP 地 址 数量 是 非常 有 限 的 ,访问 控制 列表 的 简单 使 用 在 本 例 
中 也 可 以 了 解 到 。 

LAN_A 端 路 由 器 RouterA 的 配置 方法 如 下 


Router# conf t 

Router (config)#hostname RouterR 

// 将 路 由 器 改名 为 RouterR 

RouterR (config)# interface fastethernet 0 

// 对 接口 Fa0 配置 

RouterR (config-if)#no shutdown 

// 激 活 启用 Fa0 接口 

RouterA (config-if)#description link to IAN A 

// 描 述 性 文字 说 明 此 接口 接 入 LAN A 

RouterR (config -if)#ip address 172.16.10.254 255.255.255.0 

// 为 接口 Fa0 配 置 TP 地 址 和 子 网 掩 码 

RouterA (config if)#ip nat inside 

// 将 Fa0 接 口 配置 为 地 址 转换 NaT) 的 内 接口 ,从 此 口 向 内 网 对 应 内 部 的 私有 IP 地 址 
RouterR (config if)#interface serial 0 

// 转 换 到 为 串 行 口 s0 配 置 

RouterR (config-if)#no shutdown 

// 激 活 启用 s0 接口 

RouterR (config-if)# ip address 172.16.1.1 255.255.255.252 

// 为 接口 s0 配置 IP 地 址 和 子 网 掩 码 

RouterR (config if)#ip nat outside 

// 将 s0 接口 配置 为 地 址 转换 (NAT) 的 外 接口 ,从 此 口 向 外 对 应 公 网 的 公共 IP 地 址 
RouterR (config -if)#encapsulation ppp 

// 此 接口 与 男 一 个 路 由 器 RouterB 相连 采用 了 PPP 的 链 路 封装 协议 

RouterA (config if)#no access-list 1 

// 取 消 原 有 的 访问 控制 列表 1, 这 是 为 了 防止 新 建 的 访问 控制 列表 1 功能 不 能 按 设置 执行 而 做 的 
// 预 防 性 措施 

RouterR (config if)#access-list 1 permit 172.16.10.0 0.0.0.255 

// 定 义 访问 控制 列表 1 内 容 为 允许 172.16.10.0/24 段 P 通 过 。 注 意 在 对 访问 控制 列表 进行 


人 网 络 管理 与 安全 
// 定 义 时 , 子 网 掩 码 的 写法 是 反 的 ,0.0.0.255 实 际 上 指 的 掩 码 是 255.255.255.0 


RouterRA (config if)#ip nat translation timeout 86400 

// 动 态 地 址 转换 时 间 设 定 为 86400 秒 

RouterR (config if)#ip nat pool router-natpool-1 202.96.38.4 202.96.38.6 255.255.255.248 
// 从 ISP 那 里 得 到 的 IP 地 址 是 202.96.38.4~ 202.96.38.6, 只 有 3 个 ,不 够 用 。 但 局 域 网 内 部 

// 众 多 主机 的 私有 IP 在 172.16.10.0 段 ,必须 将 它们 转换 成 202.96.38.4~ 202.96.38.6 段 的 
//IP 地 址 才 行 。 这 里 建立 了 一 个 地 址 池 名 为 router-natpool-1 对 应 公 网 的 IP 段 , 当 它 与 访问 
// 控 制 列 表 关联 时 就 可 以 实现 内 部 地 址 向 外 部 地 址 的 转换 

RouterR (config-if)#ip nat inside source list 1 pool router-natpool-1 overload 

// 这 一 句 通过 调用 访问 控制 列表 1, 将 172.16.10.0 网 段 的 IP 都 转换 成 pool router-natpool-1 
// 定 义 的 地 址 段 202.96.38.4~202.96.38.6,overload 的 含义 是 ,如 果 有 多 于 地 址 池 中 定义 的 

// 地 址 数量 (比如 30 个 用 户 ) 的 用 户 访问 外 部 ,那么 多 个 内 网 地 址 可 以 被 转换 成 同一 公 网 地 址 ,不 
// 同 的 内 网 地 址 之 间 可 以 通过 不 同 的 接口 来 识别 ,这 样 利用 地 址 定义 的 三 个 公 网 地 址 就 可 以 使 所 
// 有 的 内 网 用 户 上 网 

RouterR (config- if)#exit 

// 退 回 到 全 局 配置 模式 

RouterR (config)# ip router 0.0.0.0 0.0.0.0 serial 0 

// 配 置 默认 路 由 ,所 有 经 过 s0 的 数据 包 都 发 向 下 面 的 任何 地 址 


5.2.3 动态 路 由 的 配置 方法 

在 中 小 型 网 络 中 ,如 果 接 人 的 路 由 器 不 多 , 则 只 需要 掌握 静态 路 由 的 配置 方法 即 可 ， 
对 一 般 的 企业 网 或 者 校园 网 的 网 管 员 来 说 ,掌握 静态 路 由 配置 技术 是 基本 要 求 。 但 是 ,在 
大 型 网 络 中 ,会 有 很 多 路 由 器 接 人 网 络 ,被 管理 的 路 由 器 可 能 多 达 几 百 台 甚 至 更 多 。 如 此 
大 型 的 网 络 如 果 还 靠 网 管 员 一 台 一 台地 配置 静态 路 由 , 那 将 是 不 可 想象 的 ,工作 量 会 大 得 
惊人 ,而 且 有 可 能 使 路 由 设置 不 完整 而 影响 网 络 状态 。 

在 学 习 网 络 基础 知识 时 已 经 了 解 到 ,实现 动态 路 由 有 几 种 协议 ,如 RIP,OSPF ,IGRP 
等 ,它们 的 工作 原理 根据 采取 的 路 由 算法 和 适用 范围 大 小 有 所 不 同 。 在 同一 种 动态 路 由 
协议 下 , 相 邻 的 路 由 器 之 间 可 以 互相 学 习 路 由 。 距 离 矢 量 路 由 协议 (RIP) 是 最 常见 的 一 
种 动态 路 由 协议 方法 。 下 面 以 RIP 为 例 简 单 地 介绍 有 助 于 了 解 动 态 路 由 的 原理 和 方法 。 

运行 RIP 的 路 由 器 并 不 知道 整个 网 络 的 拓扑 结构 ,它们 之 间 是 通过 相互 传递 路 由 表 
来 学 习 路 由 的 。 路 由 器 不 能 从 相 邻 的 路 由 器 那里 学 到 整个 网 络 的 拓扑 ,路 由 表 中 只 记载 
了 目的 地 的 方向 和 距离 ,也 就 是 说 路 由 器 从 相 邻 的 路 由 器 那里 学 来 的 路 由 ,只 能 知道 方向 
和 距离 ,所 以 这 个 协议 被 称 为 距离 矢量 路 由 协议 。 

RIP 有 两 种 版 本 : Versionl 和 Version2 ,前 者 通过 广播 UDP 报 文 来 交换 路 由 信息 ， 
后 者 使 用 组 播 交换 路 由 信息 。 而 衡量 路 由 距离 的 指标 是 跳 数 (hop) , 它 是 指数 据 包 到 达 
目标 所 必须 经 过 的 路 由 器 的 数目 ,RIP 支持 的 最 大 跳 数 是 15 。 

对 动态 路 由 配置 方法 可 以 通过 如 图 5-9 所 示 的 例子 说 明 其 用 法 。 

下 面 说 明 对 应 的 动态 路 由 的 配置 方法 。 

对 路 由 器 A: 


RouterR (config)# router rip 
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图 5-9 动态 路 由 配置 示例 


// 采 用 RIP 的 动态 协议 

RouterR (config-router)#version 2 

//RIP 版 本 2 

RouterR (config-router)#network 192.168.1.0 
// 指 定 与 RouterA 相连 的 网 络 段 

RouterR (config-router)#network 10.0.0.0 

// 指 定 与 RouterA 另 一 个 相连 的 网 络 段 


对 路 由 器 B: 


RouterR (config)# router rip 

RouterR (config-router)#version 2 

RouterR (config-router)#network 192.168.1.0 
RouterR (config-router)#network 172.16.0.0 


5.3 访问 控制 列表 (ACL) 和 网 络 地 址 转换 (NAT) 


路 由 器 是 构成 IP 网 络 的 核心 产品 ,其 最 基本 的 功能 是 连接 不 同类 型 .不 同 网 段 的 网 
络 , 选 择 最 佳 的 信息 传送 路 径 并 转发 数据 包 , 尤 其 企业 网 或 校园 网 接 入 Internet 时 更 是 离 
不 开路 由 器 。 但 实际 上 它 的 功能 远 不 止 这 些 , 它 还 可 以 实现 访问 控制 和 地 址 转换 
(NAT)。 前 者 是 网 络 安 全 和 防火 墙 构成 的 基本 要 素 , 而 后 者 是 扩大 公共 IP 地 址 使 用 范 
围 的 有 效 途 径 。 
5.3.1 访问 控制 列表 

访问 控制 列表 (ACL) 是 一 系列 允许 和 拒绝 条 件 的 集合 ,通过 访问 控制 列表 可 以 过 滤 
进入 和 送出 的 数据 分 组 的 请 求 , 实 现 对 路 由 器 和 网 络 的 安全 控制 。 访 问 控制 列表 的 主要 
功能 有 以 下 几 个 方面 : 

Oz 限制 特定 网 段 .主机 或 特定 类 型 的 网 络 流量 ,提高 网 络 性 能 。 

@ 在 路 由 器 接口 处 决定 哪 种 类 型 (如 HTTP,DNS) 的 通信 量 被 转发 或 丢弃 ,从 而 提 
高 网 络 的 安全 。 防 火 墙 就 利用 了 这 个 原理 。 

@ 用 于 地 址 转换 (NAT) ,定义 哪些 数据 分 组 需要 进行 地 址 转换 。 

@ 在 路 由 策略 中 .用 于 路 由 信息 的 过 滤 。 

在 路 由 器 中 访问 控制 列表 对 数据 流 进行 过 滤 时 ,其 定义 的 列表 必须 作用 于 相应 的 接 
口上 ,而 且 对 于 接口 来 说 数据 流向 是 双向 的 ,因此 ,数据 流 必 须 指定 是 流入 接口 还 是 流出 


和 ~、 


EAs 


接口 。 也 就 是 说 ,将 访问 控制 列表 放 在 路 由 器 接口 的 进 方 向 还 是 出 方向 上 ,效果 是 不 同 
的 。 因 为 一 个 是 数据 流量 先进 行 访问 控制 列表 的 过 滤 , 后 经 过 路 由 表 , 而 另 一 个 是 数据 流 
量 先 经 过 路 由 表 , 后 进行 访问 控制 列表 的 过 滤 。 

如 图 5-10 所 示 ,数据 流 进入 路 由 器 后 , 先 经 过 访问 控制 列表 (ACL) 的 过 滤 , 只 有 满足 
过 滤 条 件 的 数据 包 才 能 允许 寻找 路 由 表 , 找 到 合适 的 路 径 后 继续 数据 包 的 传送 。 而 如 
图 5-11 所 示 ,数据 流 从 接口 进入 路 由 器 后 先 选择 路 由 ,然后 才 经 过 访问 控制 列表 的 过 滤 。 
这 两 种 方法 要 根据 使 用 目的 的 不 同 选用 。 一 般 来 讲 , 如 果 要 防范 外 来 攻击 和 不 良 信息 ,应 
该 采用 图 5-10 所 示 的 策略 ,因为 它 采 用 了 先 过 滤 后 路 由 的 策略 ,可 在 数据 包 查 询 路 由 之 
前 把 不 良 数据 流 过 滤 掉 ,提高 安全 系数 ,也 提高 数据 流速 率 。 有 时 候 内 网 为 了 防止 本 身 的 
不 良 信息 流出 路 由 器 ,就 会 采用 图 5-11 所 示 的 策略 。 总 之 ,无 论 是 采用 进口 的 访问 控制 
策略 还 是 出 口 的 访问 控制 策略 都 要 根据 网 络 的 实际 情况 和 应 用 需要 决定 。 


进入 s0 接 口 的 数据 包 


人 允许 通过 
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图 5-10 路 由 器 数据 流 在 接口 进 时 访问 控制 列表 的 工作 流程 


高 友 | 找到 路由 , 数据 包 送 入 0 接口 没有 列表 ,数据 包 补 转发 _ 
进入 s0 接 口 的 数据 包 
< 接口 上 是 否 有 出 方 > 
向 上 的 访问 控制 列表 | 
DR 的 六 |、 
列表 | 一。 | 允许 通过 ,数据 
包 被 转发 (permit) 
没有 相应 的 路 由 ， 不 允许 通过 ， 
数据 包 被 丢弃 数据 包 被 
1 丢弃 (deny) 


图 5-11 路 由 器 数据 流 在 接口 出 时 访问 控制 列表 的 工作 流程 


由 于 访问 控制 列表 技术 不 仅 是 路 由 器 的 一 项 基本 技能 ,而 且 在 网 络 服务 器 、 网 络 防火 
墙 等 管理 和 操作 中 也 经 常 要 用 到 ,所 以 掌握 这 方面 的 内 容 是 很 重要 的 。 下 面 介绍 几 个 应 
该 了 解 的 方面 。 
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1. 访问 控制 列表 的 原理 

访问 控制 列表 (Access Control List,ACL) 是 网 管 员 在 路 由 器 上 设置 的 一 系列 允许 和 
拒绝 条 件 的 集合 ,可 以 对 送 来 的 数据 流 进行 过 滤 ,实现 对 路 由 器 和 网 络 的 安全 控制 。 当 某 
个 数据 包 传送 到 调用 访问 控制 列表 的 语句 时 ,路 由 器 根据 其 编号 找到 对 应 的 访问 控制 列 
表 组 ,路 由 器 将 按 如 图 5-12 所 示 的 规则 一 个 一 个 地 检测 数据 包 与 访问 列表 的 条 件 。 先 判 
断 是 否 满足 第 一 条 语句 ,如 果 满 足 , 就 不 再 进行 下 一 步 的 判断 ,直接 进行 “拒绝 (deny) "或 
“允许 (permit) "操作 , 即 执行 列表 语句 丢弃 该 数据 包 或 者 继续 发 送 该 数据 包 。 如 果 第 一 
条 语句 不 满足 ,就 进行 下 一 步 的 判断 ,看 设 定 的 第 二 条 语句 是 否 满足 ,如 果 满 足 就 进行 “ 拒 
绝 (deny) ”或 “允许 (permit) ”操作 , 即 执行 列表 语句 丢弃 该 数据 包 或 者 继续 发 送 该 数据 
包 , 和 否则 再 判断 第 三 条 语句 。 以 此 类 推 , 如 果 一 个 数据 包 与 所 有 语句 的 条 件 都 不 能 匹配 ， 
那么 在 访问 控制 列表 的 最 后 有 一 条 隐 含 的 语句 ,可 强制 性 地 将 这 个 数据 包 丢 弃 。 访 问 控 
制 列表 中 的 “拒绝 (deny) ”或 “允许 (permit)" 是 网 管 人 员 设 置 的 , 它 能 控制 哪些 类 型 的 数 
据 包 允许 被 发 送 , 哪 些 被 拒绝 (过 滤 掉 ), 所 以 一 系列 ACL 的 组 合 使 用 得 当 就 可 以 起 到 控 
制 数据 流 是 否 能 通过 路 由 器 的 作用 ,也 是 控制 网 络 安全 的 常用 手段 。 

如 图 5-12 所 示 为 数据 流 经 过 访问 控制 列表 的 过 程 。 


~、、 [第 一 条 语句 
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图 5-12 数据 流 经 过 访问 控制 列表 的 执行 过 程 


访问 控制 列表 虽然 是 路 由 器 常用 的 配置 之 一 ,但 是 它 比 静态 路 由 和 动态 路 由 的 配置 
要 复杂 很 多 ,一 旦 配置 不 好 会 直接 影响 整个 网 络 的 正常 运行 。 因 此 ,必须 格外 谨慎。 在 配 
置 访问 控制 列表 时 应 该 注意 以 下 几 个 方面 。 

@ 一 定 要 注意 访问 控制 列表 的 语句 的 先后 顺序 。 访 问 控制 列表 是 由 一 系列 的 语句 
所 组 成 的 。 当 数据 包 进入 路 由 器 被 ACL 判断 时 ,是 从 上 到 下 按 顺 序 执行 的 ,一 旦 数据 包 
的 信息 符合 某 一 条 件 ,数据 包 就 会 执行 该 语句 规定 的 操作 ,在 访问 控制 列表 中 列 出 的 其 他 
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语句 不 再 进行 比较 。 如 果 语 句 顺序 不 当 , 有 可 能 执行 的 效果 不 是 所 希望 的 。 

@ 最 有 限制 性 的 语句 应 该 放 在 访问 控制 列表 语句 组 的 首 行 。 访 问 控制 列表 有 一 个 
特性 ,一 旦 前 面 的 判断 条 件 被 满足 而 将 数据 包 放 过 ,下 面 的 语句 就 不 会 被 执行 ,所 以 最 有 
限制 性 的 语句 应 该 放 在 访问 控制 列表 语句 组 的 首 行 或 前 面 ,可 以 防止 应 该 拒绝 的 数据 包 
被 放 过 ,在 设 定 与 网 络 安 全 有 关 的 语句 时 更 要 注意 这 一 点 。 

@ 要 在 全 局 模式 下 先 建立 好 访问 控制 列表 ,才能 对 某 个 路 由 器 接口 施加 过 滤 功 能 。 
如 果 想 对 路 由 器 的 某 个 接口 ,比如 e0 口 在 进 的 方向 施加 访问 控制 的 约束 ,但 是 并 没有 写 
好 访问 控制 列表 的 判断 组 合 与 之 对 应 , 则 无 法 执行 。 

@ 在 访问 控制 列表 的 最 后 有 一 条 隐 含 的 全 部 拒绝 的 命令 ,所 以 访问 控制 列表 中 应 该 
至 少 有 一 条 允许 的 命令 。 这 一 点 也 很 容易 理解 ,因为 不 管 怎样 ,数据 包 经 过 最 后 的 判断 后 
都 不 满足 就 会 被 全 部 拒绝 ,如 果 一 名 允许 的 语句 都 没有 ,那么 整个 路 由 器 就 什么 数据 都 不 
能 转发 ,路 由 器 处 于 “封闭 ”状态 。 

@ 根据 ACL 的 列表 号 可 以 判断 是 哪 种 协议 的 访问 控制 列表 。 各 种 协议 都 有 自己 的 
访问 控制 列表 ,编号 也 不 同 。 如 IP 协议 的 编号 有 几 类 ,第 一 类 是 标准 的 访问 控制 列表 , 列 
表 号 为 1 一 99 ,第 二 类 是 扩展 的 访问 控制 列表 ,列表 号 为 100 一 199,1300 一 1999,2000 一 
2699 ,命名 的 访问 控制 列表 以 其 名 称 作为 列表 号 。AppleTalk 协议 的 列表 号 为 600 一 
699。IPX 协议 的 列表 号 为 800 一 899( 标 准 ) ,900 一 999( 扩 展 ),1000 一 1099(SAP 过 滤 ) 及 
命名 式 列表 。 

@ 访问 控制 列表 的 配置 是 按 协议 .接口 和 进出 的 方向 来 设置 的 。 一 般 说 来 ,路 由 器 
的 一 个 接口 上 可 以 对 每 一 个 协议 配置 进 方向 和 出 方向 两 个 访问 控制 列表 。 

@ 想 删除 某 个 访问 控制 列表 的 语句 时 ,必须 删除 整个 列表 。 有 了 时候 设 定好 的 访问 控 
制 列表 中 某 一 句 有 错误 或 者 不 满意 , 想 将 它 删除 掉 , 则 必须 将 整个 访问 控制 列表 删除 而 不 
能 按 每 条 语句 去 删除 。 因 此 ,建议 编辑 语句 较 多 的 访问 控制 列表 时 , 先 用 其 他 的 文档 编辑 
器 如 Windows 的 写字 板 先 编辑 好 ,然后 再 复制 .粘贴 到 超级 终端 中 即 可 。 

除了 以 上 几 点 ,还 应 该 了 解 , 虽 然 设 定 的 路 由 器 访问 控制 列表 有 助 于 数据 流量 的 过 
滤 , 但 是 它 不 是 万 能 的 ,而 是 根据 网 管 员 的 合理 设置 才能 达到 应 有 的 效果 。 另 外 要 强调 的 
是 ,访问 控制 列表 只 能 过 滤 穿 过 路 由 器 的 数据 流量 ,由 路 由 器 本 身 发 出 的 数据 包 是 不 能 被 
过 滤 的 。 

2. 标准 的 访问 控制 列表 的 配置 及 用 法 

(1) 访问 控制 列表 的 配置 步骤 

配置 访问 控制 列表 的 步骤 并 不 复杂 ,主要 有 两 个 步骤 。 

@ 在 路 由 器 的 全 局 配置 模式 下 ,用 下 列 命令 格式 创建 访问 控制 列表 。 

Router (config)#access-list access list-number {permit|deny}source{source- 

wildcard} 

其 中 ,access-list-number 是 ACL 序列 号 ,标准 的 IP 协议 的 ACL 为 1 一 99 号 ,source 
为 源 IP 地 址 ,source-wildcard 为 通配符 掩 码 。 

@ 进入 某 个 路 由 器 接口 ,在 接口 配置 模式 下 使 用 access-group 命令 将 前 面 创建 的 
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ACL 应 用 到 某 一 接口 上 。 
Router (config if)#ip access-group access-listnumber{finlout} 


从 以 上 两 句 命令 可 以 看 出 ,第 (1) 步 的 ACL 句 式 列 出 的 若干 句 称 为 ACL 组 或 集合 ， 
这 一 组 设 定 相同 的 列表 号 供 某 个 接口 调用 。 第 (2) 步 是 接口 实际 应 用 ACL 的 操作 。 下 
面 举例 进行 介绍 。 

如 图 5-13 所 示 ,路 由 器 有 三 个 接口 e0 ,el,e2 ,其 接口 的 IP 地 址 和 几 个 网 段 图 5-13 中 
已 有 标示 。 现 在 要 设置 的 访问 控制 列表 要 求 位 于 172. 16. 3. 0 网 段 的 主机 不 能 访问 172. 
16. 1.0 网 段 的 主机 。 另 外 要 求 位 于 172. 16. 2.0 网 段 的 主机 可 以 访问 位 于 172. 16. 1. 0 
网 段 的 主机 ,但 是 要 求 主机 B 不 能 访问 172. 16. 1. 0 网 段 的 主机 。 如 果 再 联 其 他 网 段 , 允 
许 访问 172. 16. 1.0 网 段 的 主机 。 


172.16.1.0 255.255.255.0 | 路 由 器 | 172.16.2.0 255.255.255.0 


网 段 | e0 el | 网 段 
1721611 | | | [172.162.1 

255.255.255.0 | | 1 | 255.255.255.0 
1 三 172.163.1 1 
| |2552552550| | 
| 172.16.3.0 | 

主机 A ”其 他 主机 | 255.255.255.0 | 主机 B 其 他 主机 

1 网 段 | 172.16.2.3 
1 1 


255.255.255.0 
图 5-13 标准 的 访问 控制 列表 的 配置 


(2) 访问 控制 列表 的 配置 方法 

对 各 个 接口 的 IP 地 址 配置 等 基本 配置 前 面 已 经 介绍 过 ,下 面 只 讲解 访问 控制 列表 的 
配置 方法 。 

9 配置 访问 控制 列表 组 。 


Router (config)#access-list 1 deny 172.16.3.0 0.0.0.255 

// 拒 绝 172.16.3.0,255. 255. 255. 0 网 段 的 主机 访问 ,注意 通配符 掩 码 的 写法 与 子 网 掩 码 相反 
Router (config)#access-list 1 deny 172.16.2.3 0.0.0.255 

// 拒 绝 172.16.2.0,255. 255. 255. 0 网 段 的 172.16.2.3 主 机 B 的 访问 

Router (config)#access-list 1 permit 172.16.2.0 0.0.0.255 

// 除 了 172.16.2.3 主机 以 外 ,172.16.2.0,255. 255. 255.0 网 段 其 他 的 主机 都 允许 访问 

Router (config)#access-list 1 permit any 


// 除 了 上 述 条 件 限制 之 外 的 其 他 任何 主机 都 允许 访问 
@ 在 e0 接口 上 应 用 以 上 的 访问 控制 列表 。 


Router (config)#int e0 
// 换 到 e0 接口 ,对 eo 应 用 访问 控制 列表 
Router (config if)#ip access-group 1 out 


// 对 接口 e0 施 加 访问 控制 列表 1, 并 作用 在 出 的 方向 上 


~、 


A 


(3) 配置 访问 控制 列表 要 注意 的 问题 

以 上 的 配置 实现 了 对 接口 e0 施加 访问 控制 的 功能 ,限制 条 件 是 编号 为 1 的 访问 控制 
列表 ,在 e0 接口 出 的 方向 上 ACL 不 允许 (deny) 来 自 于 172. 16. 3.0 网 段 和 主机 B 的 数据 
流通 过 ,所 以 限制 了 它们 流出 e0 端口 。 如 果 读 者 细心 观察 就 会 发 现下 面 的 两 个 问题 ,处 
理 不 好 会 影响 网 络 的 运行 。 

g@ 访问 控制 列表 语句 的 顺序 问题 

先 看 原来 的 两 个 ACL 语句 : 

Router (config)#access-list 1 deny 172.16.2.3 0.0.0.255 

Router (config)#access-list 1 permit 172.16.2.0 0.0.0.255 


这 两 条 命令 可 以 实现 对 来 自 172. 16. 2. 3 的 主机 B 的 数据 流 的 拒绝 ,但 是 允许 


172. 16. 2.0 网 段 其 他 计算 机 主机 的 数据 流通 过 。 现 在 将 这 两 句 调换 一 下 位 置 如 下 : 


~ 


Router (config)#access-list 1 permit 172.16.2.0 0.0.0.255 
Router (config)#access-list 1 deny 172.16.2.3 0.0.0.255 


按 规则 先 比较 第 一 句 ,所 有 包含 在 172. 16. 2. 0 网 段 的 主机 都 已 经 被 允许 通过 ,而 第 
二 句 中 的 主机 (172. 16. 2. 3) 也 包含 在 172. 16. 2. 0 网 段 中 ,也 就 是 说 先 符合 的 语句 先 执 
行 ,第 二 句 就 不 会 被 执行 ,该 句 没 有 任何 效果 ,不 能 起 到 将 来 自主 机 B 的 数据 流 过 滤 掉 的 
作用 ,可 见 ACL 语句 的 顺序 是 非常 重要 的 。 

@ 标准 访问 控制 列表 只 能 对 源 地 址 端的 数据 进行 控制 

还 是 通过 Router(config) # access-list 1 deny 172. 16. 3. 0 0. 0. 0. 255 命令 进行 说 
明 。 这 一 句 限制 了 来 自 172. 16. 3.0 网 段 所 有 主机 的 数据 流 流 过 路 由 器 的 e0 接口 ,但 是 
e0 口 通过 交换 机 会 接 入 许多 主机 ,也 就 是 说 所 有 接 入 e0 接口 的 主机 就 算是 联 了 几 百 台 
都 不 能 接收 来 自 172. 16. 3. 0 网 段 主机 的 信息 。 比 如 说 ,只 要 求 主 机 A 不 接收 来 自 
172. 16. 3.0 网 段 主机 的 数据 流 , 但 是 172. 16. 1.0 网 段 的 其 他 主机 却 人 允许 接收 ,怎么 办 ? 
显然 ,标准 访问 控制 列表 是 不 够 用 的 。 要 想 解 决 这 个 问题 必须 用 扩展 的 访问 控制 列表 , 因 
为 它 既 能 指定 源 地 址 ,也 能 指定 目的 地 址 ,所 以 语句 更 具体 清晰 。 


3. 扩展 访问 控制 列表 的 配置 及 用 法 

标准 访问 控制 列表 的 语句 比较 简单 , 它 标示 数据 流 的 参数 只 有 一 个 源 地 址 ,相对 而 
言 , 扩 展 的 访问 控制 列表 可 以 标示 的 参数 就 详细 很 多 ,包括 源 地 址 .目的 地 址 ,协议 号 、 源 
端口 和 目的 端口 ,所 以 这 种 方式 的 功能 更 强 也 更 灵活 。 以 图 5-14 为 例 ,假设 主机 A 的 IP 
地 址 和 子 网 掩 码 为 172. 16. 3.2 和 255. 255. 255. 0, 配 置 任务 为 禁止 172. 16. 3. 0 的 计算 
机 主机 访问 172. 16. 4.0 网 段 的 FTP 服务 器 ,不 过 可 以 访问 IP 地 址 为 172. 16. 4. 13 的 
Web 服务 ,而 其 他 服务 不 能 访问 。 

下 面 讲解 扩展 访问 控制 列表 的 配置 。 

Router (config)#access-list 101 permit tcp any 172.16.4.13 0.0.0.255 eq www 


// 设 置 扩展 的 acL101, 人 允许 源 地 址 为 任意 IP 的 主机 访问 目的 地 址 为 172.16.4-13 主机 的 80 端 
// 口 , 即 mW 服务 ,协议 为 TCP。 


172.16.3.1 
255.255.255.0 


172.16.4.1 
255.255.255.0 


FTP 服务 器 


1 1 
1 1 
1 | 
1 | 
172.16.4.12 
i 1 1 Ee 255.255.255.0 
le0 ell 
1 | 
1 | 茵 
1 | 
1 | 
1 I 


172.16.3.0 172.16.4.0 
255.255.255.0 255.255.255.0 
网 段 网 段 
主机 A Web 服 务 器 
172.16.3.2 172.16.4.13 
255.255.255.0 255.255.255.0 


图 5-14 扩展 的 访问 控制 列表 的 配置 


Router (config)#access-list 101 deny tcp 172.16.3.0 0.0.0.255 172.16.4.12 0.0.0.255 eq ftp 
// 拒 绝 172.16.3.0,255.255.255.0 网 段 的 主机 对 172.16.4.12 的 FTP 服务 器 进行 FTP 协 议 操 
// 作 ,限制 此 网 段 用 FIP 协议 做 上 传 和 下 载 的 可 能 性 


由 于 CISCO 路 由 器 默认 添加 deny any 命令 ,所 以 所 有 其 他 不 满足 的 都 在 拒绝 之 内 。 
然后 进入 对 路 由 器 接口 el 的 配置 。 


Router (config)# int el 

// 进 入 el 端口 配置 

Router (config if)#ip access-group 101 out 

// 将 编号 为 101 的 扩展 访问 列表 设 定 的 约束 条 件 施加 给 接口 el, 方 向 为 出 去 。 因 为 是 约束 

//172.16.3.0 网 段 主机 访问 172.16.4.0 网 段 ,所 以 对 el 接口 来 说 指向 是 出 的 方向 

设置 完毕 后 ,172. 16. 3. 0 的 计算 机 就 无 法 访问 172. 16. 4. 0 的 计算 机 ,即使 服务 器 
172. 16. 4.12 开启 了 FTP 服务 也 无 法 访问 ,可 以 访问 的 只 是 172. 16. 4. 13 的 WWW 服 
务 。 因 为 101 号 扩展 访问 控制 列表 对 el 来 说 是 单 向 的 ,那么 172. 16. 4.0 的 计算 机 访问 
172. 16. 3.0 的 计算 机 主机 没有 任何 问题 。 

扩展 访问 控制 列表 有 一 个 最 大 的 好 处 就 是 可 以 保护 服务 器 。 例 如 很 多 服务 器 为 了 更 
好 地 提供 服务 都 是 暴露 在 公 网 上 的 ,这 时 为 了 保证 服务 正常 提供 ,所 有 的 端口 都 对 外 界 
放 , 很 容易 受到 黑客 和 病毒 的 攻击 ,通过 扩展 ACL 可 以 将 除 服务 端口 以 外 的 其 他 端口 都 
封锁 ,降低 了 被 攻击 的 几率 。 比 如 本 例 就 是 仅 将 80 端口 对 外 界 开放 。 

扩展 访问 控制 列表 的 功能 很 强大 , 它 可 以 控制 源 IP、 目 的 IP、 源 端口 、 目 的 端口 等 ,并 
能 实现 对 协议 等 的 精确 控制 。 扩 展 ACL 不 仅 读 取 IP 包头 的 源 地 址 /目的 地 址 ,还 读 取 第 
四 层 包 头 中 的 源 端 口 和 目的 端口 的 IP。 不 过 扩展 访问 控制 列表 也 有 一 个 缺点 ,就 是 在 没 
有 硬件 ACL 加 速 的 情况 下 会 消耗 大 量 的 路 由 器 CPU 资源 。 所 以 使 用 中 低档 路 由 器 时 
应 尽量 减少 扩展 ACL 的 条 目 数 ,将 其 简化 为 标准 ACL 或 将 多 条 扩展 ACL 合并 简化 是 
较为 有 效 的 方法 。 

访问 控制 列表 放置 在 哪个 位 置 呢 ? 以 下 的 基本 原则 供 读 者 参考 。 一 般 情 况 下 将 标准 


pA 


访问 控制 列表 放置 在 更 靠近 目标 地 址 网 络 的 地 方 ,并 将 其 作为 出 方向 的 访问 控制 列表 。 
扩展 访问 控制 列表 可 以 非常 准确 地 识别 数据 包 , 一 般 将 它 放置 于 更 靠近 源 地 址 的 地 方 , 并 
且 作为 进 方向 的 访问 控制 列表 。 

5.3.2 网 络 地 址 转换 (NAT) 


1. NAT 的 基本 原理 
NAT 的 英文 全 称 是 Network Address Translation, 即 网 络 地 址 转换 。 这 种 技术 可 以 
允许 一 个 企业 网 或 校园 网 不 管 它们 的 私有 IP 地 址 如 何 及 其 数量 ,都 可 以 用 一 个 或 一 段 公 
用 IP 地 址 出 现在 Internet 上 上。 顾名思义 , 它 


是 一 种 把 内 部 私有 网 络 地 址 (IP 地 址 ) 翻 译 成 “| 四 络 

合法 的 网 络 公共 IP 地 址 的 技术 。NAT 的 原 | 

理 如 图 5-15 所 示 。 NAT 翻译 -| 售 法 的 公用 下 地 址 
简单 地 说 ,NAT 就 是 在 局 域 网 的 内 部 网 

络 中 使 用 内 部 地 址 , 当 内 部 节点 要 与 外 部 网 Internet 或 其 他 外 部 网 络 


络 进行 通信 时 ,就 在 网 关 处 把 内 部 IP 地 址 转 

换 成 公用 IP 地 址 , 从 而 在 外 部 公 网 

(Internet) 上 正常 使 用 。NAT 可 以 使 多 台 计 算 机 共享 Internet 连接 ,这 一 功能 很 好 地 解 
决 了 公共 IP 地 址 紧缺 的 问题 。 通 过 这 种 方法 ,用 户 可 以 只 申请 一 个 合法 或 极 少 的 公共 
IP 地 址 ,把 整个 局 域 网 中 的 计算 机 接 人 Internet 中 。 这 时 ,NAT 屏蔽 了 内 部 网 络 , 所 有 
内 部 网 中 的 计算 机 对 于 公共 网 络 来 说 是 不 可 见 的 ,而 内 部 网 中 的 计算 机 用 户 也 不 会 意识 
到 NAT 的 存在 ,如 图 5-16 所 示 。 这 里 提 到 的 内 部 地 址 是 指 在 内 部 网 络 中 分 配给 节点 的 
私有 IP 地 址 ,这 个 地 址 只 能 在 内 部 网 络 中 使 用 ,不 能 被 路 由 。 内 部 地 址 通常 使 用 的 是 ， 
10. 0. 0.0~10. 255. 255. 255(A 类 ) .172. 16. 0.0~172. 31. 255. 255(B 类 ) 和 192. 168. 1.0~ 
192. 168. 255. 255(C 类 ) 。NAT 将 这 些 无 法 在 互联 网 上 使 用 的 保留 IP 地 址 翻译 成 可 以 
在 互联 网 上 使 用 的 合法 IP 地 址 。 而 全 局 地 址 是 合法 的 公共 IP 地 址 , 它 是 由 NIC( 网 络 信 
息 中 心 ) 或 者 ISP( 网 络 服务 提供 商 ) 分 配 的 地 址 ,是 全 球 统一 的 可 寻 址 的 地 址 。 


卫 104021| [a103216658 179.16.62.2 


图 5-15 NAT 的 原理 


10.10.2.3 
图 5-16 网 络 地 址 转换 应 用 


NAT 功能 通常 被 集成 到 路 由 器 、 防 火 墙 或 者 单独 的 NAT 设备 中 。CISCO 路 由 器 中 
具有 这 一 功能 ,网 络 管理 员 只 需 在 路 由 器 的 IOS 中 设置 NAT 功能 ,就 可 以 实现 对 内 部 网 
络 的 屏蔽 。 比 如 防火 墙 将 Web 服务 器 的 内 部 地 址 192. 168. 1. 1 映射 为 外 部 地 址 
202. 96. 23. 11, 外 部 用 户 访问 202. 96. 23. 11 地 址 实际 上 就 是 访问 192. 168. 1. 1, 实 现 对 
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Web 服务 器 的 屏蔽 。 


2. NAT 的 类 型 

NAT 有 3 种 类 型 : 静态 NAT(Static NAT) .动态 地 址 NAT(Pooled NAT) 、 网 络 地 
址 端口 转换 NAPT(Network Address Port Translation ) 。 

静态 NAT 是 设置 起 来 最 简单 和 最 容易 实现 的 一 种 ,内 部 网 络 中 的 每 个 主机 都 被 永 
久 上 映射 成 为 外 部 网 络 中 的 某 个 合法 的 地 址 。 而 动态 地 址 NAT 则 是 在 外 部 网 络 中 定义 了 
一 段 合 法 的 IP 地 址 ,采用 动态 分 配 的 方法 将 内 部 网 络 的 大 量 私 有 地 址 映射 到 外 部 公 网 的 
一 段 IP 地 址 。NAPT 则 是 把 内 部 地 址 映射 到 外 部 网 络 的 一 个 IP 地 址 的 不 同 端口 上 。 根 
据 不 同 的 需要 ,这 三 种 NAT 方案 各 有 利弊 。 

动态 地 址 NAT 只 是 转换 IP 地 址 , 它 为 每 一 个 内 部 的 IP 地 址 分 配 一 个 临时 的 外 部 
IP 地 址 ,主要 应 用 于 拨号 上 网 。 对 于 频繁 地 远程 连接 也 可 以 采用 动态 地 址 NAT。 当 远 
程 用 户 连接 上 之 后 ,动态 地 址 NAT 会 分 配给 它 一 个 IP 地 址 ,用 户 断 开 时 ,这 个 IP 地 址 
就 会 被 释放 而 留待 以 后 使 用 。 

网 络 地 址 端口 转换 NAPT 是 人 们 比较 熟悉 的 一 种 转换 方式 。NAPT 普遍 应 用 于 接 
和 人 设备 中 , 它 可 以 将 中 小 型 的 网 络 隐藏 在 一 个 合法 的 IP 地 址 后 面 。NAPT 与 动态 地 址 
NAT 不 同 , 它 将 内 部 连接 映射 到 外 部 网 络 中 的 一 个 单独 的 IP 地 址 上 ,同时 在 该 地 址 上 加 
上 一 个 由 NAT 设备 选 定 的 TCP 端口 号 。 


5.4 思考 和 练习 


1. 配置 路 由 器 应 该 具备 哪些 条 件 ? 
2. 路 由 器 的 密码 有 几 种 ? enable password word 与 enable secret word 命令 有 什么 


3. 简 述 路 由 器 配置 文件 的 备份 和 恢复 方法 。 
4. 什么 是 访问 控制 列表 ? 配置 标准 访问 控制 列表 有 几 个 步骤 ? 
5. 什么 是 网 络 地 址 转换 (NAT)? 简 述 其 原理 。 


5.5 实 训练 习 


实 训练 习 1: 路 由 器 的 连接 方法 和 IOS 用 于 路 由 器 的 基本 命令 练习 

用 Console 口 或 在 已 有 的 局 域 网 环境 中 启动 CISCO 2600 系列 路 由 器 ,用 IOS 的 命 
令 行 进行 路 由 器 的 基本 配置 。 

要 求 ; 

(1) 熟练 掌握 在 用 户 模式 和 特权 模式 之 间 的 转换 ,并 进入 全 局 配置 模式 。 

(2) 为 路 由 器 起 一 个 新 的 名 称 ,并 为 Telnet 登录 访问 路 由 器 设 定 一 个 登录 密码 。 提 
示 : 全 局 模式 下 ,采用 命令 line vty 0 4;login;password。 

(3) 为 fastethernet 0/1 接口 制定 一 个 IP 地 址 。 

(4) 用 show 命令 显示 正在 运行 的 配置 .显示 fastethernet 0/1 接口 状态 。 
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实 训练 习 2: 实现 局 域 网 之 间 路 由 器 的 互 连 
构造 两 个 局 域 网 ,该 结构 如 图 5-17 所 示 ,要求 实现 局 域 网 之 间 通 过 路 由 器 的 互 连 。 


SwitchA RouterA RouterB | SwitchB 


Be LAN_A LAN_B Ee 


图 5-17 实现 局 域 网 之 间 路 由 器 的 互 连 


要 求 ， 

(1) 将 两 个 局 域 网 划分 为 不 同 的 网 段 ,自己 规划 子 网 的 拓扑 结构 。 

(2) 分 别 给 路 由 器 .交换 机 和 PC 配置 合理 的 IP 地 址 和 子 网 掩 码 ,最 好 将 两 个 子 网 先 
列表 进行 对 比 ,避免 搞 错 。 

(3) 连通 后 验证 网 络 的 通畅 性 。 

实 训练 习 3: 配置 VLAN 

根据 如 图 5-18 所 示 的 网 络 拓扑 结构 配置 VLAN。 


SwitchA SwitchB 


Router 


PCD PCE PCF 
5-18 配置 VLAN 


图 


要 求 : 
PC_A 和 PC_D 属 于 VLAN1,PC_B 和 PC_E 属 于 VLAN2,PC_C 和 PC_F 属于 
VLAN3。 
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网 络 数据 存储 的 管理 


在 当今 的 信息 社会 中 ,数字 化 信息 已 经 成 为 工作 和 生活 中 天 天 相伴 的 一 部 分 ,尤其 是 
网 络 技术 和 移动 通信 的 普及 应 用 ,更 使 人 们 日 常 接触 的 各 种 信息 量 呈 爆炸 式 增长 。 面 对 
称 之 为 "海量 "的 信息 ,一 方面 庆幸 这 个 时 代 能 带 给 社会 越 来 越 多 的 共享 信息 ,也 能 够 
提供 更 好 、 更 多 、 更 便捷 的 服务 ; 另 一 方面 也 带 来 了 更 多 的 困惑 ,人 们 常常 不 知道 如 何 
应 对 各 种 有 益 的 或 无 益 的 信息 。 对 于 网 络 管理 员 来 说 ,他 们 不 仅 是 大 量 信 息 的 使 用 
者 ,还 是 信息 的 提供 者 和 保护 者 ,因此 责任 非常 重大 。 而 传统 的 以 服务 器 为 中 心 的 存 
储 网 络 架 构 面 对 大 量 的 数据 流 已 显得 力不从心 ,人 们 希望 可 以 找到 一 种 新 的 数据 存储 
模式 ,将 存储 设备 相对 独立 于 其 他 网 络 设备 ,具有 良好 的 扩展 性 、 可 用 性 、 可 靠 性 ,以 满 
足 数据 存储 的 要 求 。 

数据 存储 技术 的 发 展 ,使 得 以 服务 器 为 中 心 的 数据 存储 模式 逐渐 向 以 数据 为 中 心 的 
数据 存储 模式 转变 。 网 络 用 户 对 存储 的 需求 在 以 下 几 个 方面 的 要 求 越 来 越 高 。 

@ 用 户 希 望 更 加 快速 地 从 网 络 获取 他 们 所 希望 得 到 的 数据 信息 ,各 种 宽带 网 络 服务 
和 无 线 网 络 服务 不 仅 扩大 了 用 户 享 用 信息 的 范围 ,而 且 信息 的 享用 更 加 快捷 。 

@ 用 户 对 网 络 数据 存储 量 的 要 求 越 来 越 大 。 比 如 网 络 视频 ,网 络 游戏 ,大 容量 电子 
邮箱 ,大 容量 网 络 U 盘 或 硬盘 等 都 是 典型 的 例子 ,国内 著名 的 门户 网 站 如 搜狐 新浪、 网 
易 等 提供 的 网 络 存储 量 更 是 惊人 的 。 

@ 网 络 技术 的 现状 和 发 展 趋势 对 网 络 数据 的 有 效 管理 提出 了 更 高 的 要 求 ,不仅 要 
求 网 络 海量 数据 保存 的 完整 性 .数据 更 新 的 快速 性 ,还 要 保证 数据 的 良好 备份 ,并 能 在 
系统 发 生 问题 或 故障 的 情况 下 及 时 准确 地 恢复 系统 信息 数据 。 因 为 有 时 候 一 旦 数据 
丢失 或 损坏 ,损失 将 是 惨重 的 、 无 法 弥补 的 。 可 以 想象 .如 果 哪 个 银行 或 者 证 券 公司 的 
数据 被 损坏 ,而 你 的 存款 户头 或 股票 信息 恰恰 在 这 里 丢失 而 不 能 恢复 , 那 将 是 怎样 的 后 
果 ? 所 以 ,现代 信息 化 发 展 的 基本 要 求 包括 完善 的 数据 存储 、 备 份 和 管理 解决 方案 。 为 网 
络 系统 设计 统一 的 数据 存储 系统 ,可 以 简化 管理 ,减少 投资 ,还 可 以 为 高 质量 的 数据 管理 
打下 基础 。 

数据 存储 管理 技术 和 方案 是 系统 生命 力 持续 的 保障 措施 。 网 络 管理 员 掌 握 好 数据 存 
储 和 管理 的 技术 ,不仅 是 做 好 网 络 管理 ,从 某 种 意义 上 讲 也 是 把 握 着 工作 单位 的 核心 命 
脉 .“ 企 业 的 数据 就 是 命脉 ”这 句 话 一 点 也 不 夸张 。 
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6.1 网 络 存储 管理 技术 


有 3 种 方式 可 以 把 数据 信息 存放 于 存储 设备 中 , 即 在 线 存储 、` 近 线 存储 和 离线 存储 。 
在 线 存储 是 指 把 数据 存放 在 被 主机 的 文件 系统 直接 管理 的 磁盘 存储 设备 中 ,其 特点 是 利 
用 了 系统 底层 的 1/O 技术 ,优点 是 可 以 实时 访问 和 改变 数据 ,性 能 出 色 , 能 够 满足 应 用 对 
1/O 性 能 的 要 求 。 近 线 存 储 是 指 把 数据 存放 在 另外 一 套 主机 的 文件 系统 直接 管理 的 磁盘 
存储 设备 中 ,这 种 方式 通常 借助 一 定 的 软件 和 网 络 来 实现 不 同系 统 间 的 数据 异地 存放 ,以 
及 需要 时 的 数据 回迁 。 其 优点 是 数据 存放 在 正 加 电 运 行 的 系统 上 ,能 够 保证 数据 存放 和 
回迁 的 传输 性 能 。 离 线 存储 是 指 系统 运行 的 情况 下 ,把 数据 存放 在 可 随时 脱离 系统 的 磁 
带 设备 中 ,其 最 大 的 特点 是 借助 了 磁带 技术 ,优点 是 可 以 在 系统 运行 时 得 到 一 份 脱离 系统 
的 数据 副本 ,便于 存放 在 异地 。 这 3 种 方式 的 组 合 应 用 ,可 以 给 不 同 需要 的 用 户 带 来 各 自 
需要 的 数据 存储 和 管理 方案 。 


6.1.1 网 络 数据 存储 管理 的 内 容 
网 络 数据 存储 管理 的 内 容 按 应 用 方式 分 为 以 下 几 个 方面 。 


1. 数据 备份 

数据 备份 是 指 用 一 定 的 方式 形成 数据 副本 ,在 源 数据 唱 到 破坏 的 情况 下 ,可 以 恢复 数 
据 。 备 份 有 离线 备份 和 在 线 备份 两 种 方式 。 离 线 备份 把 数据 备份 到 磁带 或 其 他 存储 介质 
中 ,但 它 和 设备 运行 不 同步 。 它 的 特点 是 存储 备份 与 系统 运行 状态 的 关系 不 太 密 切 ,投资 
较 少 ,但 是 恢复 数据 需要 的 时 间 长 。 在 线 备份 属于 同步 数据 备份 ,也 称 为 数据 复制 , 即 同 
时 有 两 份 完全 一 样 的 数据 存在 ,一 旦 发 生 问题 可 以 马上 将 备份 的 数据 投入 使 用 。 所 以 这 
种 备份 的 恢复 时 间 非 常 短 ,但 投资 比较 大 。 

根据 不 同 的 规模 和 不 同 的 存储 模式 ,备份 有 单机 备份 .网 络 备份 .Server Free 备份 
( 免 服务 器 备份 ) 和 LAN Free 备份 (无 局 域 网 备份 ) 等 几 种 方式 。 比 较 而 言 , 单 机 备份 仅 
适用 于 单一 的 应 用 系统 ,同一 网 络 下 的 多 个 应 用 系统 适合 采用 网 络 备份 。 在 采用 SAN 
(Storage Area Network ,存储 区 域 网 络 ) 存 储 模式 的 环境 下 ,Server Free 和 LAN Free 备 
份 则 更 有 效率 。 另 外 ,这 两 种 备份 方式 适用 于 一 般 企 业 ,而 对 于 一 些 关 键 行 业 , 如 金融 .证 
券 . 电 信 等 则 要 采用 远程 备份 ,将 数据 和 应 用 存 到 异地 ,发 生 问题 时 可 以 依靠 异地 系统 马 
上 恢复 数据 并 启动 应 用 。 


2. 数据 复制 

关于 数据 复制 读者 可 能 经 常 做 这 一 类 的 操作 ,但 是 在 网 络 管理 中 远 不 是 一 般 的 文件 
复制 那么 简单 。 它 是 指 将 系统 主 磁盘 设备 中 的 数据 复制 到 其 他 系统 内 ,数据 复制 有 同步 
复制 和 异步 复制 两 种 。 通 过 不 同 的 软件 和 硬件 设备 的 结合 ,可 以 实现 基于 网 络 环境 的 数 
据 复制 。 数 据 复制 软件 和 近 线 存储 结合 ,可 以 形成 高 性 能 的 较为 完整 的 数据 备份 解决 方 
案 。 这 种 方式 可 以 做 到 数据 更 新 时 的 实时 备份 ;还 可 以 在 源 数据 丢失 后 , 短 时间 内 完全 恢 
复数 据 。 同 步 数据 复制 软件 和 高 性 能 的 备份 软件 结合 ,可 以 实现 一 定 程度 的 系统 容 灾 。 
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3. 容 灾 管理 

系统 容 灾 听 起 来 好 像 与 网 络 灾难 有 关 , 有 点 可 怕 , 但 是 实际 上 在 目前 的 网 络 环 境 下 ， 
网 络 管理 员 经 常 要 面 对 各 种 各 样 的 系统 灾难 ,比如 系统 突然 停电 .设备 遭遇 雷击 .系统 突 
然 骨 溃 、 系 统 被 攻击 而 不 能 运行 .系统 被 病毒 感染 而 停止 工作 等 。 如 何 解决 这 些 问 题 就 是 
容 灾 管 理 的 内 容 。 

容 灾 是 指 在 主 应 用 系统 之 外 ,在 异地 建立 一 套 备 份 系统 ,通过 数据 复制 软件 把 数据 同 
步 复 制 到 备份 系统 中 ,并 通过 高 可 用 集群 软件 ,监控 主 系统 的 运行 状态 ,一 旦 主 系统 因为 
各 类 灾难 而 停止 工作 ,备份 系统 即 可 接替 主 系统 的 工作 ,保证 系统 实时 在 线 可 用 。 容 灾 可 
以 带 来 很 高 的 系统 可 靠 性 和 可 恢复 性 ,但 容 灾 的 建设 投入 非常 大 ,而 且 网 络 系统 应 用 的 部 
门 越 重 要 ,对 容 灾 的 要 求 越 高 。 


4. 数据 迁移 

在 信息 中 心 的 存储 设备 中 往往 是 分 级 管理 的 , 主 存储 设备 一 般 存 储 经 常 使 用 和 调用 
的 数据 ,而 更 多 的 不 经 常 使 用 的 数据 没有 必要 也 存储 在 主 存储 设备 中 ,往往 将 它们 放 在 下 
一 级 的 存储 设备 中 ,但 这 种 存储 不 是 静态 的 ,一 旦 需要 调用 就 必须 将 数据 迁移 出 来 。 有 具体 
地 讲 就 是 将 高 速 ,高 容量 的 存储 设备 (如 非 在 线 的 大 容量 磁带 库 ,在 线 的 磁盘 设备 ) 作 为 主 
磁盘 设备 (磁盘 阵列 ) 的 下 一 级 ,把 主 磁盘 设备 中 不 常用 的 数据 按照 存储 策略 自动 迁移 到 
二 级 存储 设备 上 。 当 需要 这 些 数 据 时 ,自动 把 这 些 数 据 调 回 主 磁盘 设备 中 。 通 过 数据 迁 
移 , 可 以 实现 把 大 量 不 经 常 访问 的 数据 放置 在 离线 或 近 线 设备 上 ,而 只 在 主 磁盘 设备 上 保 
存 少量 高 频率 访问 的 数据 ,从 而 提高 存储 资源 利用 率 ,大 大 降低 设备 和 管理 成 本 。 数 据 迁 
移 技术 通常 适用 于 大 型 数据 中 心 ,如 气象 地震、 水 文 . 传 播 \ 保 险 、 图 书 、 银 行 、 档 案 管理 行 
业 等 。 

5， 内 容 管 理 

内 容 管理 是 数据 管理 中 的 新 兴 技术 。 近 年 来 ,在 网 络 环境 中 传送 的 数据 内 容 越 来 越 
复杂 和 多 样 化 ,以 前 传统 的 数据 管理 系统 多 采用 结构 性 的 关系 数据 库 , 仅 能 处 理 结构 化 数 
据 。 但 是 现在 绝 大 多 数 的 信息 已 经 不 能 简单 地 用 结构 化 数据 来 描述 ,例如 各 种 形式 和 格 
式 的 文件 .视频 .音频 .照片 传真 等 都 是 非 结 构 化 的 。 如 何 对 不 同 结构 .不 同 内容 的 数据 
进行 管理 成 为 当前 网 络 数据 管理 的 重要 内 容 , 也 是 为 用 户 提供 更 丰富 服务 内 容 的 要 求 , 所 
以 内 容 管理 技术 由 此 而 产生 , 它 要 求解 决 结构 化 和 非 结 构 化 数字 资源 的 采集 .管理 .利用 、 
传递 和 增值 等 工作 。 
6.1.2 网 络 数据 存储 管理 技术 

在 简单 的 小 型 网 络 环境 中 ,数据 量 比较 小 ,一 般 都 将 数据 存放 在 服务 器 的 硬盘 上 或 者 
磁盘 阵列 上 (RAID) ,但 是 作为 有 一 定 规模 的 信息 中 心 仅 仅 靠 服务 器 自 有 的 存储 量 是 远 
远 不 够 的 ,必须 有 单独 的 大 存储 量 设备 才能 满足 数据 存储 量 日 益 增 长 的 需要 。 数 据 存储 
技术 发 展 的 主要 趋势 有 几 个 特点 ,网 络 已 成 为 主要 的 数据 存储 环境 和 信息 处 理 模 式 ,存储 
的 数据 类 型 日 益 多 样 化 以 及 数据 量 大 大 增加 ,企业 的 数据 尤其 是 核心 数据 的 完整 性 构成 
了 它们 生存 的 命脉 。 因 此 , 随 着 网 络 中心 或 数据 中 心 提供 的 网 络 服务 内 容 越 来 越 多 ,存储 
的 数据 在 地 理 位 置 上 也 越 来 越 分 散 , 在 不 同 地 域 提供 存储 数据 的 复制 和 同步 存储 服务 就 
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非常 重要 。 要 想 实现 这 一 点 从 技术 上 来 讲 是 相当 有 难度 的 ,首先 数据 的 分 散 性 导致 管理 
的 困难 ,有 效 地 将 位 于 不 同 地 点 的 数据 准确 无 误 地 在 统一 管理 下 存储 、 备 份 和 数据 更 新 ， 
没有 特殊 的 技术 是 难以 实现 的 ,依靠 纯粹 的 人 工 管理 更 不 可 能 实现 。 下 面 的 几 种 技术 是 
网 络 环境 下 实现 数据 存储 的 常用 方法 。 


1. RAID 技术 

在 目前 的 网 络 存储 管 理 中 ,最 简单 、 最 方便 、 最 容易 实现 扩充 存储 量 的 方法 就 是 
RAID 技术 。RAID 是 英文 Redundant Array of Independent Disks 的 缩写 ,中 文 含义 是 
“独立 磁盘 元 余 阵列 ”, 也 简称 磁盘 阵列 (Disk Array) 。 

简单 地 说 ,RAID 是 一 种 把 多 块 独立 的 物理 硬盘 按 不 同 的 方式 组 合 起 来 组 成 一 个 硬 
盘 组 形成 逻辑 硬盘 ,从 而 提供 比 单个 硬盘 更 高 的 存储 性 能 ,并 提供 数据 备份 技术 。 可 能 喜 
欢 组 装 PC 的 发 烧 友 都 有 这 样 的 体会 ,如 果 机 器 的 硬盘 存储 量 不 够 ,那么 就 可 以 在 主机 上 
另外 再 加 一 块 硬盘 。 也 就 是 说 ,主机 内 有 两 块 物理 硬盘 ,但 是 可 以 用 分 区 软件 将 它们 分 成 
若干 个 逻辑 硬盘 (比如 8 个 )。 在 服务 器 上 使 用 相似 的 原理 构成 了 RAID, 但 是 RAID 更 
为 复杂 一 些 。 因 为 它 不 仅 扩充 了 计算 机 的 存储 量 , 还 具有 宛 余 功能 ,可 以 利用 宛 余 信 息 将 
被 损坏 的 数据 恢复 。 组 成 磁盘 阵列 的 不 同方 式 称 为 RAID 级 别 (RAID Levels)。 数 据 备 
份 的 功能 是 在 用 户 的 数据 一 旦 发 生 损坏 后 ,利用 备份 信息 可 以 使 损坏 的 数据 恢复 ,从 而 保 
障 用 户 数 据 的 安全 性 。 在 用 户 看 来 ,组 成 的 磁盘 组 就 像 是 一 个 硬盘 ,用 户 可 以 对 它 进行 分 
区 、 格 式 化 等 ,并 不 觉得 是 在 对 许多 块 硬盘 进行 操作 ,对 磁盘 阵列 的 操作 好 像 与 单个 硬盘 
一 样 。 不 同 的 是 ,RAID 形成 的 磁盘 阵列 的 存储 速度 要 比 单个 硬盘 组 合 起 来 的 硬盘 组 合 
高 很 多 ,因为 它 的 组 成 结构 和 数据 线 都 是 特殊 设计 的 。RAID 还 可 以 通过 专门 的 软件 提 
供 硬盘 管理 和 自动 数据 备份 。 

RAID 技术 有 三 大 特点 : 一 是 速度 快 , 二 是 存储 量 大 ,三 是 比较 安全 。 由 于 这 几 个 优 
点 ,RAID 技术 早期 被 应 用 于 高 级 服务 器 中 的 SCSI 接口 的 硬盘 系统 中 。 随 着 近年 来 计算 
机 技术 的 发 展 ,PC 的 CPU 的 速度 已 进入 工作 主 频 GHz 的 时 代 ,IDE 接口 的 硬盘 也 开发 
出 了 RAID 系列 的 硬盘 ,相继 推出 了 ATA66 和 ATA100 硬盘 ,使 得 RAID 技术 被 应 用 于 
中 低档 服务 器 甚至 PC 上 成 为 可 能 。RAID 通常 是 由 在 硬盘 阵列 塔 中 的 RAID 控制 器 或 
计算 机 中 的 RAID 卡 来 实现 的 。 

RAID 技术 经 过 不 断 的 发 展 ,现在 已 拥有 从 RAID 0 一 6 的 7 种 基本 的 RAID 级 别 。 
另外 ,还 有 一 些 基本 RAID 级 别 的 组 合 形式 ,如 RAID 10(RAID 0 与 RAID 1 的 组 合 )、 
RAID 50(RAID 0 与 RAID 5 的 组 合 ) 等 。 不 同 的 RAID 级 别 代表 着 不 同 的 磁盘 阵列 组 
合 方式 .阵列 存储 性 能 .数据 安全 性 和 存储 成 本 ,但 最 常用 的 是 下 面 的 几 种 RAID 形式 。 

(1) RAID 0 

RAID 0 又 称 为 Stripe( 条 带 化 ) 或 Striping, 因 为 它 使 用 了 一 种 称 为 “条 带 ” 的 技术 把 
数据 分 布 到 各 个 磁盘 上 。 每 个 “条 带 ” 被 分 散 到 连续 的 块 上 ,RAID 0 至 少 用 两 个 磁盘 驱 
动 器 ,并 将 数据 分 成 从 512 字 节 到 数 兆 字 节 的 若干 块 , 这 些 数 据 块 被 交替 写 到 磁盘 中 。 它 
的 特点 是 分 割 数据 ,将 输入 /输出 负载 平均 分 配 到 所 有 的 驱动 器 。 由 于 驱动 器 可 以 同时 读 
或 写 ,因而 性 能 得 到 提高 ,所 以 它 代表 了 所 有 RAID 级 别 中 最 高 的 存储 性 能 。 也 就 是 说 ， 
RAID 0 提高 存储 性 能 的 原理 是 把 连续 的 数据 分 散 到 多 个 磁盘 上 存 取 ,这 样 系统 有 数据 
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请 求 时 就 可 以 被 多 个 磁盘 并 行 地 执行 ,每 个 磁盘 执行 属于 它 自 己 的 那 部 分 数据 请 求 。 这 
种 数据 上 的 并 行 操作 可 以 充分 利用 总 线 的 带宽 ,显著 提高 磁盘 整体 存 取 性 能 。 

如 图 6-1 所 示 ,系统 向 3 个 磁盘 组 成 的 逻辑 硬盘 (RAID 0 磁盘 组 ) 发 出 的 1/O 数据 请 
求 被 转化 为 三 项 操作 ,其 中 的 每 一 项 操作 都 对 应 于 一 块 物理 硬盘 。 从 图 6-1 中 可 以 清楚 
地 看 到 ,通过 建立 RAID 0, 原 先 顺序 的 数据 请 求 被 分 散 到 3 块 硬盘 中 同时 执行 , 即 顺序 为 
Disk 0(D0) ,Disk 1(D1) ,Disk 2(D2),Disk 0(D3) ,Disk 1(D4) ,Disk 2(D5)…。 从 理论 上 
讲 ,3 块 硬盘 的 并 行 操作 使 同一 时 间 内 磁盘 读 写 速 度 提升 了 3 倍 。 但 由 于 总 线 带 宽 等 多 
种 因素 的 影响 ,实际 的 提升 速率 可 能 会 低 于 理论 值 , 但 是 大 量 数 据 的 并 行 传输 与 串 行 传输 
比较 ,能 够 提高 传输 速率 是 肯定 无 疑 的 。 


图 6-1 RAID 0 原理 


由 于 RAID 0 的 存储 数据 是 将 数据 分 散 地 放 在 各 个 磁盘 上 ,而 且 存 储 是 没有 宛 余 的， 
所 以 它 的 最 大 缺点 就 是 数据 难以 恢复 。 也 就 是 说 ,一 旦 阵列 中 的 某 个 磁盘 损坏 或 数据 被 
损坏 ,阵列 中 的 整体 数据 信息 都 会 受到 破坏 ,损坏 的 数据 将 无 法 得 到 恢复 ,除非 被 损坏 的 
数据 留 有 备份 。 

RAID 0 具有 的 特点 是 ,特别 适用 于 对 存储 性 能 要 求 较 高 ,存储 量 较 大 的 场合 ,相对 
而 言 对 数据 安全 的 要 求 不 高 ,如 图 形 工作 站 等 。 对 于 个 人 用 户 ,RAID 0 也 是 提高 硬盘 存 
储 性 能 的 绝 佳 选择 。 

(2) RAID 1 

RAID 1 又 称 为 Mirror 或 Mirroring( 镜 像 ) . 它 的 目的 是 最 大 限度 地 保证 用 户 数据 的 
完整 性 和 可 修复 性 。RAID 1 磁盘 镜像 的 原理 是 把 一 个 磁盘 的 数据 镜像 到 另 一 个 磁盘 
上 ,也 就 是 说 数据 在 写 人 一 块 磁盘 的 同时 ,会 在 另 一 块 闲置 的 磁盘 上 生成 镜像 文件 ,在 不 
影响 性 能 的 情况 下 最 大 限度 地 保证 系统 数据 的 可 靠 性 和 可 修复 性 。 只 要 系统 中 任何 一 对 
镜像 盘 中 至 少 有 一 块 磁盘 可 以 使 用 ,甚至 在 一 半数 量 的 硬盘 出 现 问题 时 系统 都 可 以 正常 
运行 , 当 一 块 硬盘 失效 时 ,系统 会 忽略 该 硬盘 , 转 而 使 用 剩余 的 镜像 盘 读 写 数据 ,具备 很 好 
的 磁盘 元 余 能 力 。 虽 然 这 样 对 数据 来 讲 绝对 安全 .但 是 成 本 也 会 明显 增加 ,磁盘 利用 率 实 
际 上 只 有 一 半 , 以 四 块 80GB 容量 的 硬盘 为 例 , 可 利用 的 磁盘 空间 仅 为 160GB。 另 外 ,出 


~、 
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现 硬盘 故障 的 RAID 系统 不 再 可 靠 ,应 及 时 更 换 
损坏 的 硬盘 ,否则 剩余 的 镜像 盘 一 旦 出 现 问题 , 那 


么 整个 系统 就 会 月 演 。 更 换 新 盘 后 还 要 做 镜像 ， pe 
而 原 有 数据 需要 很 长 时 间 同 步 镜像 ,会 使 整个 系 D0 


统 的 性 能 有 所 下 降 , 但 是 外 界 对 数据 的 访问 不 会 
受到 影响 。 因 此 ,RAID 1 多 用 于 保存 关键 性 重要 
数据 的 场合 。 

从 图 6-2 中 可 以 看 出 ,数据 写 人 时 同时 向 两 
个 磁盘 写 人 了 相同 的 数据 Disk 0-D0,Dsik 1-D0; 
Dsik 0-D1,Disk 1-D1…, 磁 盘 的 利用 率 只 有 一 半 ， 
但 是 数据 有 元 余 。RAID 1 主要 通过 二 次 读 写实 
现 磁 盘 镜 像 ,磁盘 控制 器 如 果 在 写 人 相同 数据 时 图 6-2 RAID 1 原理 
向 两 个 磁盘 操作 就 会 使 负载 太 大 ,尤其 是 在 需要 
频繁 写 入 数据 的 环境 中 就 会 显得 力不从心 。 为 了 避免 出 现 性 能 瓶颈 ,常常 使 用 多 个 磁盘 
控制 器 来 解决 这 个 问题 。 使 用 多 个 磁盘 控制 器 不 仅 可 以 改善 RAID 1 的 性 能 ,还 可 以 提 
高 数据 的 安全 性 和 可 用 性 。 因 为 RAID 1 最 多 允许 硬盘 发 生 故障 的 数目 不 超过 阵列 总 数 
的 一 半 。 如 果 采 用 多 个 磁盘 控制 器 比如 原 盘 和 镜像 盘 都 有 各 自 的 控制 器 , 则 无 论 是 哪个 
控制 器 发 生 故 障 , 总 有 一 个 控制 器 在 工作 ,不 会 影响 整个 磁盘 阵列 的 工作 ,这 样 可 以 把 故 
障 或 意外 带 来 的 损害 降 到 最 低 程 度 。 

(3) RAID 0 十 1( 或 者 称 为 RAID10) 

从 名 称 上 就 可 以 看 出 这 是 RAID 0 与 RAID 1 的 组 合体 , 它 能 提取 RAID 0 和 RAID 
1 两 者 的 优点 ,取长补短 。 单独 使 用 RAID 1 的 缺点 是 磁盘 必须 镜像 ,不 能 充分 利用 所 有 
的 资源 。 为 了 解决 这 一 问题 ,可 以 采用 RAID 0 存储 量 大 的 优势 ,在 磁盘 镜像 中 建立 带 区 
集 提高 磁盘 利用 率 。 因 为 这 种 配置 方式 综合 了 带 区 集 和 镜像 的 优势 ,所 以 被 称 为 RAID 
0 十 1。 把 RAID 0 和 RAID 1 技术 结合 起 来 ,数据 除 分 布 在 多 个 盘 上 外 ,每 个 盘 都 有 其 物 
理 镜 像 盘 ,提供 了 足够 的 元 余 能 力 ,可 以 允许 一 个 以 下 的 磁盘 故障 而 不 影响 数据 的 可 用 
性 ,并 具有 快速 读 / 写 能 力 。RAID 0 十 1 要 在 磁盘 镜像 中 建立 带 区 集 至 少 需要 4 块 硬盘 。 

以 4 个 磁盘 组 成 的 RAID 0 十 1 为 例 ,其 数据 存储 方式 如 图 6-3 所 示 。Disk 0 和 Disk 
1 是 一 组 RAID 1 镜像 组 合 ,Disk 2 和 Disk 3 是 一 组 RAID 1 镜像 组 合 ,而 (Disk 0 十 Disk 
1) 与 (Disk 2 十 Disk 3) 又 组 成 了 RAID 0, 因 为 存储 的 顺序 为 DDD0,DI1D1,D2D2,D3D3,…， 
与 RAID 0 相同 。 这 显然 是 一 个 RAID 0 十 1 方案 ,是 存储 性 能 和 数据 安全 兼顾 的 方案 。 
它 在 提供 与 RAID 1 同样 的 数据 元 余 和 安全 保障 的 同时 ,也 提供 了 与 RAID 0 近似 的 存储 
性 能 。 

由 于 RAID 0 十 1 也 通过 数据 的 100% 备 份 功能 提供 数据 安全 保障 ,同一 份 数据 要 保 
存 两 份 ,因此 ,RAID 0 十 1 的 磁盘 空间 利用 率 下 降 , 与 RAID 1 相同 ,而 且 磁 盘 需 要 量 增 
加 ,使 存储 成 本 提高 。 但 由 于 它 兼 有 RAID 0 和 RAID 1 的 优点 ,还 是 很 受用 户 欢 迎 的 。 

RAID 0 十 1 的 特点 使 其 特别 适用 于 既 有 大 量 数 据 需 要 存 取 , 同 时 又 对 数据 安全 性 要 
求 严格 的 领域 ,如 银行 ,金融 、 商 业 超市 .仓储 库房 .各 种 档案 管理 等 。 
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图 6-3 RAID 0 十 1 原理 示例 


(4) RAID 3 

RAID 3 是 把 数据 分 成 多 个 “ 块 ” ,按照 一 定 的 容错 算法 ,存放 在 N 十 1 块 硬盘 上 ,实际 
数据 占用 的 有 效 空 间 为 N 块 硬盘 的 空间 总 和 ,而 第 N 十 1 块 硬盘 上 存储 的 数据 是 校 验 容 
错 信息 。 当 这 N 十 1 块 硬盘 中 的 其 中 一 个 硬盘 出 现 故 障 时 ,根据 其 他 N 块 硬盘 中 的 数据 
也 可 以 恢复 原始 数据 。 这 样 仅 使 用 这 N 块 硬盘 也 可 以 继续 工作 (如 采集 和 回放 素材 ) , 当 
更 换 一 块 新 硬盘 后 ,系统 可 以 重新 恢复 完整 的 校 验 容错 信息 。 但 是 如 果 存 储 校 验 容错 信 
息 的 硬盘 坏 了 ,会 影响 数据 的 恢复 ,尤其 是 在 同时 发 生 数 据 硬盘 也 坏 了 的 情况 下 影响 更 
大 。 不 过 在 一 个 磁盘 阵列 中 ,多 于 一 块 硬盘 同时 出 现 故障 率 的 几率 太 小 ,所 以 一 般 情 况 下 
使 用 RAID 3 安全 性 是 可 以 得 到 保障 的 。 与 RAID 0 相 比 ,RAID 3 在 读 写 速度 方面 相对 较 
慢 。 因 为 RAID 3 不 仅 可 以 像 RAID 1 那样 有 容错 功能 ,而 且 磁 盘 阵 列 的 整体 开销 由 RAID 
1 的 50% 下 降 为 25% 以 下 ,与 RAID 1 相 比 提高 了 利用 率 , 磁 盘 阵列 数 越 多 利用 率 提高 越 
多 。 使 用 的 容错 算法 和 分 块 大 小 取决 于 RAID 使 用 的 应 用 场合 ,在 通常 情况 下 ,RAID 3 比 
较 适合 大 文件 类 型 且 安 全 性 要 求 较 高 的 场合 ,如 视频 编辑 硬盘 播 出 机 、 大 型 数据 库 等 。 

(5) RAID 5 

RAID 5 是 一 种 存储 性 能 ,数据 安全 和 存储 成 本 兼顾 的 存储 解决 方案 。 以 4 块 硬盘 
组 成 的 RAID 5 为 例 ,其 数据 存储 方式 如 图 6-4 所 示 。P0 为 D0,D1 和 D2 的 奇偶 校 验 信 
息 , 其 他 以 此 类 推 。 可 以 看 出 , 它 不 像 RAID 3 那样 单独 用 一 块 硬盘 作为 校 验 信息 的 存放 
处 ,而 是 把 校 验 信 息 放 在 每 个 磁盘 的 一 部 分 空间 上 。 也 就 是 说 ,RAID 5 不 对 存储 的 数据 
进行 备份 或 镜像 ,而 是 把 数据 和 相对 应 的 奇偶 校 验 信 息 存储 到 组 成 RAID 5 的 各 个 磁盘 
上 ,比如 图 6-4 中 每 块 硬盘 都 有 代表 校 验 信息 的 P 块 和 数据 DD 块 。 当 RAID 5 的 一 个 磁 
盘 数 据 发 生 损坏 后 ,利用 剩 下 的 数据 和 相应 的 奇偶 校 验 信息 就 能 恢复 被 损坏 的 数据 。 

RAID 5 可 以 理解 为 是 RAID 0 和 RAID 1 的 折 中 方案 , 它 的 特点 是 既 避 免 了 RAID 
0 没有 元 余 而 使 数据 不 能 恢复 的 缺点 ,又 避免 了 RAID 1 由 于 宛 余 而 占用 磁盘 空间 太 多 的 
缺点 。RAID 5 可 以 为 系统 提供 数据 安全 保障 ,但 保障 程度 要 比 RAID 1 低 ,而 磁盘 空间 
利用 率 要 比 RAID 1 高 。RAID 5 具有 和 RAID 0 相近 的 数据 读 取 速度 ,只 是 多 了 一 个 奇 
偶 校 验 信息 , 写 入 数据 的 速度 比 对 单个 磁盘 进行 写 人 操作 稍 慢 。 同 时 由 于 多 个 数据 对 应 
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图 6-4 RAID 5 原理 示例 


一 个 奇偶 校 验 信息 ,RAID 5 的 磁盘 空间 利用 率 要 比 RAID 1 高 ,存储 成 本 相对 较 低 。 

表 6-1 简单 总 结 了 几 种 RAID 技术 的 特点 和 应 用 。RAID 级 别 的 选择 有 3 个 主要 因 
素 : 可 用 性 (数据 元 余 ) 、 存 储 性 能 和 存储 成 本 。 如 果 不 要 求 可 用 性 ,选择 RAID 0 可 以 获 
得 最 佳 性 能 。 如 果 可 用 性 和 存储 性 能 是 重要 的 而 成 本 不 是 主要 的 因素 , 则 根据 硬盘 数量 
选择 RAID 1。 如 果 可 用 人 性、 成 本 和 性 能 都 同样 重要 , 则 根据 一 般 的 数据 传输 要 求 和 硬盘 
的 数量 选择 RAID 3 或 RAID 5。 


表 6-1 各 种 RAID 的 特性 及 用 法 


RAID 级 别 RAID 0 RAID 1 RAID 3 RAID 5 RAID 10 
专用 奇偶 位 | 分 布 奇 偶 位 
别名 条 带 镜像 pe 2 镜像 陈列 条 带 
容错 性 没有 看 有 有 有 
元 余 类 型 。 | 没有 复制 奇偶 校 验 奇偶 校 验 复制 
热 备 航 选 项 “| 没有 有 有 有 有 
谈 性 能 高 低 高 高 中 间 
随即 写 性 能 “| 高 低 最 低 低 中 间 
连续 写 性 能 “| 高 低 低 低 中 间 
ae 其 个 于 = 
需要 的 磁盘 数 | 一 个 或 多 个 人 3 个 或 更 多 | 3 个 或 更 多 2 
(一 1)12 的 磁 | 2 一 1)] 的 总 i 
可 用 容量 。 “| 总 的 磁盘 容量 et 盘 容 量 。 其 中 | 磁盘 容量 。 其 中 en a 
J a 2 为 磁盘 数 2 为 磁盘 数 
元 玫 障 的 迅速 | 随机 数据 写 入 ,| 连续 数据 传输 .| 随机 数据 传输 | 要 求 数据 量 天、 
风 开 应用 。 | 读 写 ,要 求 安 | 要 求 安全 性 高 ， 要 求 安全 性 高 ， 要 求 安全 性 高 ,| 安全 性 高 ,如 安 
应 全 性 不 高 ,如 | 如 服务 器 .数据 | 如 视频 编辑 .大 | 如 金融 、 数 据 | 全 性 高 ,如 银行 、 
图 形 工作 站 | 库存 储 领域 。 | 型 数据 库 等 。 ”| 库 .存储 等 。 ”| 金融 等 领域 
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2. NAS 系统 存储 技术 

NAS(Network Attached Storage) 含 义 是 网 络 附加 存储 技术 。 它 的 主要 作用 就 是 把 
存储 设备 尤其 是 海量 存储 设备 连接 到 现 有 的 网 络 上 ,通过 网 络 环境 提供 数据 和 文件 服务 。 
NAS 的 优点 是 其 产品 是 真正 的 即 插 即 用 的 产品 ,其 设备 支持 多 计算 平台 ,支持 多 种 网 络 
协议 。 还 有 ,NAS 设备 的 放置 位 置 很 灵活 ,常规 的 应 用 服务 器 可 以 管理 它们 ,但 是 它们 又 
相对 独立 。NAS 不 仅 可 以 存储 数据 ,还 可 以 在 网 络 上 取得 数据 。 这 样 既 可 以 减少 应 用 服 
务 器 的 负荷 ,也 有 助 于 改善 网 络 的 性 能 。 

下 面 通过 图 6-5 来 了 解 NAS 的 原理 。 企 业 网 内 有 两 台数 据 库 服务 器 ,分别 存储 基于 
Windows 的 和 基于 UNIX 的 数据 库 ,核心 基础 数据 存放 在 这 两 个 服务 器 内 ,但 是 可 以 将 
大 量 的 数据 存放 在 网 络 相 连 的 NAS 设备 中 , 当 需 要 调用 数据 时 可 以 从 NAS 中 取 用 及 存 
和 (数据 迁移 )。NAS 设备 中 还 可 以 同步 备份 两 个 服务 器 的 数据 。 还 可 以 看 出 ,用 户 端 无 
论 是 内 网 还 是 外 网 用 户 ,都 在 系统 的 统一 管理 下 从 服务 器 或 NAS 中 存 取 数据 ,而 他 本 人 
并 不 会 感觉 到 从 何 处 存 取 数 据 。 
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图 6-5 NAS 存储 示例 


使 用 NAS 技术 方案 有 如 下 优点 : 

@ 以 以 太 网 为 中 心 , 具 备 良 好 的 网 络 应 用 技术 基础 。 区 别 于 存储 区 域 网 络 (SAN ) 的 
设计 方案 ,网 络 接 人 存储 CNAS) 的 模式 以 网 络 为 中 心 。 大 多 数 现 有 的 网 络 都 具备 以 太 网 
接 入 能 力 ,NAS 能 利用 现 有 的 以 太 网 网 络 资源 来 接 和 人 专用 的 网 络 存储 设备 ,而 不 用 另 接 
入 较 高 费用 的 光纤 交换 机 来 连接 传统 的 存储 设备 ,用 户 对 以 太 网 的 投入 得 到 充分 的 利用 。 

目前 千 兆 以 太 网 的 传输 带宽 已 经 非常 普及 ,而 且 万 兆 以 太 网 的 技术 日 趋 成 熟 , 因 此 ， 
NAS 在 传输 速率 方面 应 该 能 够 满足 普通 用 户 的 需求 。 尤 其 是 以 太 网 的 技术 已 经 商业 化 
运营 多 年 ,用 户 对 它 非常 了 解 , 运 营 成 本 也 不 高 .具有 最 优 的 性 价 比 。 


J 


@@ 真正 的 数据 共享 。 采 用 NAS 模式 的 文件 系统 放置 于 存储 设备 上 ,可 以 实现 真正 
的 数据 共享 。 用户 的 数据 只 要 保存 一 个 副本 , 即 可 被 前 端的 各 种 类 型 的 主机 所 使 用 ,因此 
具备 主机 无 关 性 ,并 且 对 于 异 构 操 作 系 统 Unix 和 Windows 同样 可 以 保证 数据 的 共享 ,各 
自 的 访问 权限 也 可 得 到 相应 的 保证 。 

@ 部 署 简单 快捷 。NAS 只 要 现 有 的 网 络 具 有 空闲 的 网 口 即 可 接 入 ,从 而 被 前 端 众 
多 的 主机 使 用 ,系统 的 设置 也 非常 简单 ,比较 容易 让 用 户 学 习 上 和 手 。 

@ 扩展 性 好 ,性 价 比 高 。NAS 由 于 采用 网 络 接 入 模式 ,因此 具备 更 好 的 扩展 性 。 要 
解决 存储 容量 不 足 的 问题 ,首先 可 以 在 系统 内 通过 即 插 即 用 的 方法 进行 在 线 容量 的 扩展 ， 
即 增加 存储 盘 。 当 系统 的 存储 容量 达到 最 大 时 ,用 户 只 需要 将 新 的 NAS 接 入 网 络 内 即 
可 立刻 扩充 容量 ,系统 前 端 服务 器 无 须 关 机 ,网 络 的 正常 运行 可 以 继续 ,保证 了 系统 容量 
的 增加 而 又 不 影响 系统 对 外 提供 服务 。 

NAS 设备 本 身 相 对 价格 不 高 ,尤其 是 可 以 利用 现 有 网 络 设备 实现 NAS, 使 得 性 价 比 
比较 好 。 


3. SAN 存储 资源 管理 技术 

SAN(Storage Area Network) 即 存储 区 域 网 络 。 在 SAN 中 ,存储 设备 通过 专用 交换 
机 (一 般 是 光纤 交换 机 ) 接 到 一 组 计算 机 上 。 在 网 络 中 提供 了 多 主机 连接 ,允许 任何 服务 
器 连接 到 任何 存储 阵列 ,让 多 主机 访问 存储 器 和 主机 间 互 相 访问 一 样 方便 ,这 样 不 管 数据 
放置 在 哪里 ,服务 器 都 可 直接 存 取 所 需 的 数据 。 其 原理 如 图 6-6 所 示 。 


& 


LAN 
pC 机 笔记 本 电 及 pc 机 笔记 本 电脑 


| 


| 


Database 
Server 


图 6-6 SAN 原理 
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从 图 6-6 中 可 以 看 出 ,SAN 的 支撑 技术 是 以 光纤 交换 机 为 核心 的 光纤 通道 Fiber 
Channel(FC) 技 术 , 它 的 最 大 特点 是 将 网 络 设备 的 通信 协议 与 传输 物理 介质 隔离 开 , 多 种 
协议 可 在 同一 个 物理 连接 上 同时 传送 ,高 性 能 存储 体 和 宽带 网 络 使 用 单 IO 接口 ,使 得 
系统 的 成 本 和 复杂 程度 大 大 降低 。 光 纤 通 道 支持 多 种 拓扑 结构 ,主要 有 点 到 点 (Links) 和 
交换 式 网 络 结构 (FC-XS) ,图 6-6 采用 了 后 者 。 

实现 SAN 的 硬件 基础 设施 是 光纤 通道 ,用 光纤 通道 构建 的 SAN 由 三 部 分 构成 : 
存储 和 备份 设备 ,包括 磁带 库 、 磁 盘 阵 列 和 光盘 库 等 ; 加 光纤 通道 网 络 连 接 部 件 ,包括 
主机 总 线 适 配 卡 (Host Bus Adapter, HBA) 和 驱动 程序 光缆 ( 线 ) .光纤 交换 机 、 光 纤 通 
道 与 SCSI 间 的 桥接 器 (Bridge) 等 ; @ 应 用 和 管理 软件 ,包括 备份 软件 ,存储 资源 管理 软 
件 . 设 备 管理 软件 。 可 以 看 出 ,在 SAN 解决 方案 中 ,除了 存储 设备 以 外 ,其 关键 部 件 就 是 
网 络 连接 部 件 一 一 光纤 交换 机 ,可 以 实现 数据 的 高 速 可 靠 的 交换 。 

SAN 的 特点 如 下 : 

@ 采用 了 千 兆 位 速率 的 网 络 , 它 依托 光纤 通道 (Fiber Channel) 为 服务 器 和 存储 设备 
之 间 的 连接 提供 更 高 的 吞吐 能 力 ,支持 更 远 的 距离 和 更 可 靠 的 连通 。 

@ 它 不 仅 可 以 提供 更 大 容量 的 数据 存储 ,而 且 可 以 实现 地 域 上 的 分 散 存 储 , 允 许 任 
何 服务 器 连接 到 存储 阵列 ,这 样 不 管 数据 放置 在 哪里 ,服务 器 都 可 以 直接 存储 所 需要 的 
数据 。 

@ SAN 有 较 好 的 独立 性 ,可 以 将 它 的 存储 功能 脱离 出 网 络 系统 ,也 就 是 说 万 一 网 络 
系统 发 生 故 障 也 不 会 对 SAN 有 致命 的 影响 , 当 运 行 备 份 操作 时 也 不 用 考虑 它 对 网 络 总 
体 性 能 的 影响 。 

@ SAN 采用 了 为 大 规模 数据 传输 而 专门 设计 的 光纤 通道 技术 ,不 仅 可 以 保证 数据 
快速 稳定 的 交换 ,还 有 利于 对 远 距 离 数 据 的 交换 存储 。 

相 比 较 而 言 ,NAS 和 SAN 都 各 有 特点 。NAS 简单 实用 ,可 以 利用 原 有 的 网 络 环境 ， 
成 本 较 低 ,便于 管理 ,是 中 低 端 用 户 的 首选 。 而 SAN 配置 较 高 ,性 能 较 好 ,而 且 除 了 SAN 
设备 之 外 还 必须 另行 配置 光纤 交换 机 及 与 之 配合 的 配件 ,大 大 提高 了 运营 成 本 ,多 为 高 端 
用 户 或 大 型 重要 企业 使 用 ,如 银行 ,大 型 数据 中 心 等 。 不 过 ,目前 也 有 逐渐 趋 于 中 间 路 线 
的 趋势 ,比如 将 SAN 的 光纤 交换 机 用 高 速 以 太 网 代替 ,构成 所 谓 的 IP-SAN, 既 能 完成 
SAN 的 功能 ,又 能 降低 成 本 。 


6.2 数据 的 备份 和 恢复 


6.2.1 基于 Windows 操作 系统 的 备份 实例 

Windows 操作 系统 是 使 用 范围 最 广 的 操作 系统 ,无 论 是 基于 个 人 的 Windows XP、 
Windows Vista 还 是 用 于 服务 器 的 Windows Server 2003 ,都 有 自己 的 备份 和 恢复 工具 。 
掌握 好 这 个 工具 ,不 仅 作为 网 管 员 是 必须 的 ,对 于 一 个 使 用 计算 机 的 人 学 会 经 常 做 文件 的 
备份 也 是 很 有 用 的 。 因 为 现在 个 人 使 用 计算 机 被 病毒 感染 或 被 别人 攻击 的 机 会 越 来 越 
多 ,很 多 人 都 遇 到 过 由 于 病毒 感染 或 系统 故障 而 使 重要 的 文件 丢失 的 情况 ,一 旦 文件 丢 
失 ,往往 痛心 疾 首 , 悔 不 堪 言 ,为 自己 没有 事先 做 好 文件 备份 而 忻 恼 。 所 以 ,对 于 比较 重要 
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Es 
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的 文件 一 定 不 要 怕 麻 烦 ,经 常备 份 , 留 有 余地 ,万 一 计算 机 上 或 服务 器 上 的 文件 被 损坏 或 
丢失 就 可 以 很 快 地 恢复 ,使 损失 降 到 最 低 。 
下 面 以 Windows XP 的 备份 工具 为 例 说 明 备 份 的 原理 和 操作 ,Windows 其 他 版 本 的 


操作 方法 是 一 术 


的 。 本 例 的 要 求 为 : 将 PC 硬盘 的 逻辑 盘 C 盘 上 的 “毕业 设计 ”文件 夹 备 


份 到 优盘 ,然后 将 优盘 上 备份 的 数据 恢复 到 PC 硬盘 的 逻辑 盘 下 盘 上 。 

启动 Windows XP 后 , 单 击 * 开 始 ”- 所 有 程序 ”一 附件 ”> 系统 工具 ”一 备份” 命 
令 , 将 备份 工具 启动 。Windows XP 为 了 方便 用 户 使 用 ,提供 了 备份 向 导 , 可 以 根据 它 一 
步 一 步 操作 。 备 份 向 导 启 动 后 如 图 6-7 所 示 。 如 果 不 愿意 使 用 向 导 , 可 以 取消 选择 “总 是 
以 向 导 模式 启动 (W)” 复 选 框 。 


单 击 * 下 一 


备份 或 还 原 向 导 
欢迎 使 用 备份 或 还 原 向 导 


这 个 工具 帮助 您 备份 或 还 原 计算 机 上 的 文件 。 


亲人 wm 有 Pa 


回 攻 是 以 阿 避 模式 启动 @ 


要 继续 ,请 单 击 “ 下 一 步 ”。 


图 6-7 备份 工具 使 用 向 导 


步 ? 按 钮 ,在 如 图 6-8 所 示 的 对 话 框 中 ,选择 要 进行 的 操作 ,做 文件 的 备份 


还 是 文件 备份 后 的 还 原 。 此 处 单 击 “ 备 份 文件 和 设置 " 单 选 按钮 。 


备份 或 还 原 
您 可 以 备份 文件 和 设置 ， 或 者 从 以 前 的 备份 中 将 文件 和 设置 还 原 。 


要 做 什么 ? 


图 6-8 选 定 备份 文件 操作 
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单 击 “ 下 一 步 ” 按 钮 ,在 如 图 6-9 所 示 的 对 话 框 中 ,选择 备份 文件 的 内 容 , 这 里 单 击 “ 让 
我 选择 要 备份 的 内 容 ” 单 选 按钮 。 


要 备份 的 内 容 
可 指定 想 备份 的 项 目 。 


〇 这 各 计算 机 上 的 所 有 信息 让 ) 

让 和 2 并 创建 可 以 在 出 现 严重 故障 的 情况 下 
Windows 站 

让 我 过 9 


OF 内 容 谍 ] 
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图 6-9 选择 备份 哪 一 部 分 内 容 


单 击 “ 下 一 步 ?按钮 ,在 如 图 6-10 所 示 的 对 话 框 中 ,可 以 任意 选择 需要 进行 备份 操作 
的 计算 机 中 任何 位 置 的 任何 文件 夹 和 文件 。 


备份 或 还 原 向 导 


要 备份 的 项 目 
悠 可 以 备份 任何 组 合 形式 的 驱动 器 、 文 件 夹 或 文件 。 


汪汪 有 直下 天 内 罕 从 让 和 要 备份 9686 加 、 件 下文 件 


书稿 副本 
口 蚊 我 的 文档 
宙 国 室 网 上 邻居 
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图 6-10 选择 要 备份 的 项 目 和 内 容 


选择 完 要 备份 的 对 象 和 内 容 后 如 图 6-11 所 示 。 此 处 选择 了 D 盘 的 “毕业 设计 ”文件 
夹 作为 备份 的 内 容 。 选 中 后 ,被 选中 的 对 象 前 显示 “VY ”标记 。 两 个 列表 框 中 都 显示 被 选 
中 的 内 容 , 以 免 将 备份 内 容 搞 错 。 

单 击 “ 下 一 步 ” 按 钮 ,选择 要 将 备份 的 文件 夹 保 存 到 的 位 置 ,并 且 给 它 起 个 名 称 。 这 里 
选择 被 保存 的 位 置 是 可 移动 磁盘 ( 理 :), 即 优盘 ,被 保存 的 文件 名 称 为 “毕业 设计 ”, 如 
图 6-12 所 示 。 


“ee 


és 


备份 的 项 目 
您 可 以 备份 任何 姐 合 形式 的 红 动 器 、 文 件 来 或 文件 - 


Em 人 以 查看 其 内 容 。 类 后 选择 要 备份 的 豫 动 器 、 文 件 夹 或 文件 


图 6-11 选择 备份 对 象 后 


备份 或 还 原 向 导 
备份 类 型 、 目 标 和 名 称 
您 的 文件 和 设置 储存 在 指定 的 目标 。 


选择 备份 类 型 人 5) 


图 6-12 设置 被 保存 的 位 置 和 文件 的 名 称 


单 击 “ 下 一 步 ” 按 钮 ,如 图 6-13 所 示 ,确认 被 保存 的 位 置 和 名 称 是 否 正 确 。 再 单 击 “ 高 
级 "按钮 ,选择 采用 哪 种 备份 类 型 (如 图 6-14 所 示 ) 。 

Windows 提供 了 5 种 备份 类 型 给 各 种 不 同 需 要 的 用 户 备份 计算 机 或 网 络 上 的 数据 ， 
下 面 分 别 进行 介绍 。 

(1) 正常 备份 

正常 备份 用 于 复制 所 有 选 定 的 文件 ,并 且 在 备份 后 标记 每 个 文件 (也 就 是 说 ,清除 存 
档 属性 ) 。 使 用 正常 备份 ,只 需 备 份 文件 或 磁带 的 最 新 副本 就 可 以 还 原 所 有 文件 。 通 常 ， 
在 首次 创建 备份 集 时 执行 一 次 正常 备份 。 

(2) 副本 备份 

副本 备份 可 以 复制 所 有 选 定 的 文件 ,但 不 将 这 些 文件 标记 为 已 经 备份 (不 清除 存档 属 
性 )。 如 果 要 在 正常 和 增 量 备份 之 间 备份 文件 ,复制 是 很 有 用 的 ,因为 它 不 影响 其 他 备份 


操作 


图 
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正在 完成 备份 或 还 原 向 导 


人 包 建 了 下 列 备份 设置 


毕业 设计 . bkf 

姐 创 建 于 2007-8-18 ,20:14 
所 选 文件 和 文件 来 

文件 


要 关闭 这 个 向 导 并 开始 备份 ， 请 单 击 “ 完 成 ”。 


可 Hh 各 份 过 项 :请 单 击 “ 高 


FE 可 


6-13 ”确认 被 保存 的 位 置 和 名 称 


备份 类 型 
可 选择 适合 您 的 需要 的 备份 类 型 。 


(3) 增 量 备份 


图 6-14 选择 备份 类 型 


曾 量 备份 仅 备份 自 上 次 正常 或 增 量 备份 以 来 创建 或 更 改 的 文件 。 它 将 文件 标记 为 已 
经 备份 (清除 存档 属性 ) 。 如 果 将 正常 和 增 量 备份 结合 使 用 ,需要 具有 上 次 的 正常 备份 集 
和 所 有 增 量 备份 集 才 能 还 原 数据 。 

(4) 差异 备份 


差异 备份 上 


于 复制 自 上 次 了 


记 为 已 经 备份 ( 
和 文件 夹 需要 |] 


不 清除 存档 属性 
上 次 已 执行 过 的 了 


(5) 每 日 备份 


每 日 备份 上 


E 常 或 增 量 备份 以 来 所 创建 或 更 改 的 文件 。 它 不 将 文件 标 
) 。 如 果 要 执行 正常 备份 和 差异 备份 的 组 合 , 则 还 原文 件 
E 常 备份 和 差异 备份 。 


于 复制 执行 每 日 备份 的 当天 修改 过 的 所 有 选 定 文件 。 备 份 的 文件 将 不 会 
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被 标记 为 已 经 备份 (不 清除 存档 属性 ) 。 


这 里 选择 * 正 常备 份 ” 选 项 ,然后 , 单 击 “ 下 一 步 ?按钮 ,如 图 6-15 所 示 , 选 中 “备份 后 验 
证 数据 ? 复 选 框 ,保证 备份 数据 的 完整 性 。 


加 | 


何 备份 
可 以 指定 验证 、 压 缩 和 阴影 复制 竺 项。 


加 果 可 能 ,请 使 用 硬件 压 颖 0D 
了 在 备份 媒介 上 的 可 用 储存 空间 减少 了 存 


口 停 用 卷 阴影 复制 种 ) 
和 +， 即使 写 入 文件 操作 正 


图 6-15 选择 “备份 后 验证 数据 


单 击 * 下 一 步 ? 按 钮 ,如 图 6-16 所 示 ,该 项 设置 针对 备份 内 容 是 否 已 经 有 原 有 备份 ,如 
果 有 ,可 以 选择 在 原来 的 备份 数据 上 附加 新 的 备份 内 容 或 者 完全 用 新 的 备份 替换 原 有 的 
备份 。 
备份 或 还 原 向 导 


备份 选项 
指定 是 否 要 改写 数据 还 是 限制 对 数据 的 访问 。 


如 果 用 来 备份 数据 的 媒体 已 含有 备份 ， 选 择 下 列 一 个 选项 ; 


只 有 在 普 换 现 有 备份 时 下 列 选 项 才 可 用 。 


四 只 尤 许 所 有 者 和 管理 员 访 问 备份 殊 医 ， 以 及 附加 到 这 
个 媒体 上 的 备份 中。 


EEE Cm] 


图 6-16 选择 新 加 的 备份 方式 


单 击 * 下 一 步 ? 按 钮 ,如 图 6-17 所 示 ,选择 备份 的 时 间 ,可 以 设置 为 现在 或 在 指定 的 时 
间 备 份 。 

完成 备份 设置 后 ,如 图 6-18 所 示 ,显示 出 要 备份 的 详细 信息 。 

备份 过 程 的 开始 及 结束 ,如 图 6-19 和 图 6-20 所 示 。 
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备份 或 还 原 向 导 
备 | 


从 时 间 
可 现在 运行 备份 或 计划 以 后 再 运行 。 


什么 时 候 执行 备份 ? 
OE 


图 6-17 选择 备份 的 时 间 


备份 或 还 原 向 导 
正在 完成 备份 或 还 原 向 导 


创 哇 了 下 列 备 份 设置 

名 称 It \ 毕 业 设计 . bkf 

描述 姐 创建 于 2007-6-16，20:17 

内 容 所 选 文件 和 文件 夹 
文件 
立即 

类 型 普通 备份 

其 他 : 打开 验证 ， 不 使 用 硬件 压缩 ， 附 加 到 我 的 
九 体 上 


要 关闭 这 个 向 导 并 开始 备份 ， 请 单 击 “ 完 成 ”。 
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图 6-18 备份 设置 完成 


已 完成 备份 。 


毕业 设计 . bkf 创建 了 2007-8-18, 位 于 20 要 参阅 详细 信息 ,请 单 击 “ 报 肖 ”。 
CE ; D: DSK _Vor2 

[Orrrrrrrrrrrrrrrrrrr | | 弟 业 设计 bkf 创建 了 2007-8-18，, 位 于 20 
已 用 时 间 : 估计 剩余 时 间 
13 秒 


信 计 剩余 时 间 ; 


Di\ 毕 业 设 计 \ 网 站 设计 Vpicvxrre. gif 


他 计 : 


550 


5, 911, 808| 


图 6-19 备份 过 程 图 6-20 备份 结束 


pa 


备份 结束 后 ,可 以 通过 “我 的 电脑 ”验证 确实 在 可 移动 磁盘 上 生成 了 一 个 名 为 “毕业 设 
计 . bkf” 的 备份 文件 ,如 图 6-21 所 示 。 


图 6-21 在 可 移动 磁盘 上 备份 的 文件 


文件 备份 的 目的 是 在 原来 的 文件 被 损坏 或 丢失 时 ,可 以 将 备份 好 的 文件 恢复 。 下 面 
介绍 将 备份 文件 恢复 的 操作 ,这 里 不 是 将 文件 恢复 到 原来 的 位 置 ,而 是 恢复 到 计算 机 的 
D 盘 。 

同样 运行 备份 向 导 工具 ,如 图 6-22 所 示 。 单 击 “ 还 原 向 导 ( 高 级 )(R)” 按 钮 ,弹出 如 
图 6-23 所 示 的 对 话 框 ,选择 要 还 原 的 项 目 。 

备份 工具 - [无 标题 ] 
作业 (编辑 外 查看 WW 工具 GD 于 助人 D 


欢迎 使 用 备份 工具 高 级 模式 
加 果 愿 意 ,您 可 以 切换 到 向 导 醒 式 ， 使 用 备份 或 还 原 的 简化 设置 。 


.| 备份 向 导 (高 级 ) @) 
| 备份 向 导 帮 助 您 自 建 程序 和 文件 备份 


.| 还 原 向 导 (高 级) @) 
感 还 原 向 导 帮助 您 从 备份 还 原 涩 据 。 


自动 系 较 恢复 向 导 (A) 
时 “ASR 准备 ”向 一 个 包括 两 部 分 的 系统 备份 : 即 带 有 系统 设置 的 软盘 和 含有 本 地 


图 6-22 ”选择 “还 原 向 导 ( 高 级 )” 
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还 原 项 目 
您 可 还 原 任何 组 合 形式 的 驱动 器 、 文 件 夹 或 文件 。 


sl 
Ei 毕业 设计 
日 | 网 站 设计 


EF [二 


图 6-23 选择 要 还 原 的 项 目 


单 击 “ 下 一 步 ” 按 钮 ,如 图 6-24 所 示 ,显示 还 原 内容 的 提示 。 这 里 是 还 原 一 个 文件 ,名 
称 为 “毕业 设计 . bkf”, 默 认 还 原 到 原来 的 位 置 , 如 果 不 是 则 单 击 * 高 级 "按钮 可 以 更 换 还 原 
的 位 置 ,如 图 6-25 所 示 。 


完成 还 原 疝 导 
已 成 功 完 成 还 原 向 导 。 您 指定 了 下 列 设置 


文件 

毕业 设计 .bkf 创建 了 2007-8-18， 位 
原 位 置 

不 著 换 


要 关闭 这 个 向 导 并 开始 还 原 ， 请 单 击 “ 完 成 ”。 


要 指定 其 地 选项 ,请 单 击 “ 高 级 ”。 


Kt-sw LR ] Cm ] 


图 6-24 显示 还 原 内 容 的 提示 


还 原 的 过 程 如 图 6-26 所 示 ,还原 完毕 后 如 图 6-27 所 示 。 

还 原 完毕 后 ,可 以 验证 确实 在 D 盘 上 恢复 了 “毕业 设计 . bkf" 文 件 , 如 图 6-28 所 示 。 
以 上 是 利用 备份 和 还 原 向 导 完 成 数据 备份 和 数据 恢复 ,也 可 以 直接 利用 备份 和 还 原 工具 
完成 。 方 法 是 : 单 击 “ 开 始 ” 一 “所 有 程序 ”附件 ?一 “系统 工具 ”一 “备份 ”命令 ,启动 后 
取消 选择 “总 是 以 向 导 模 式 启动 ?或 者 切换 到 “高 级 模式 ”就 可 以 手动 完成 备份 和 还 原 工 
作 ,不 过 这 种 方式 要 求 操作 者 比较 熟练 地 掌握 备份 和 恢复 技术 。 

(6) 组 合 备份 

如 果 组 合 使 用 正常 备份 和 增 量 备份 来 备份 数据 ,需要 的 存储 空间 最 少 , 并 且 是 最 快 的 
备份 方法 。 然 而 ,恢复 文件 可 能 比较 耗 时 ,而 且 比较 困难 ,因为 备份 集 可 能 存储 在 不 同 的 
磁盘 或 磁带 上 。 如 果 组 合 使 用 正常 备份 和 差异 备份 来 备份 数据 ,会 耗 时 较 长 ,尤其 当 数据 
经 常 更 改 时 。 但 是 它 更 容易 还 原 数据 ,因为 备份 集 通常 只 存储 在 少量 磁盘 和 磁带 上 。 


学 


二 备份 工具 [还 原 和 管理 媒体 ] 
作业 CD 纺 绒 世 查看 W) 工具 I) 帮助 人 0 
欢迎 [各 份 | 水原 和 管理 沾 体 [计划 作业 | 
扩展 所 需 的 媒体 项 目 ， 先 近 要 还 原 的 项 目 。 右 键 学 击 某 个 媒体 项 目 查 看 选项 ): 


口 
马 国 园 毕业 设计 . bkf 他 娃 了 2007-8-18 3 
电钻 回回 了 站 设计 
Ss 是 已 国 焉 
所 局 局 网 站 设计 
由 固 轩 :tin 


图 6-25 更 改 还 原 的 位 置 


备份 工具 一 [还 原 和 管理 媒体 ] 


上 D:\ 毕 业 设计 \ 网 站 设计 \Vbookpie 
估计 : 
可 [ 
128| 


图 6-26 还原 过 程 


还 原 进度 文件 中 ”编辑 E) 查看 WD 收 总 和 ) 工具 CD) 帮助 人 D 
已 完 克 还 原 。 OA © -让 | Pr 区 zx | 
要 参半 详细 信息 ， 语 单 击 “报告 ”。 


D: 
毕业 .hkf 创建 了 2007-8-18, 位 于 20 
完成 


图 6-27 还 原 完毕 图 6-28 文件 备份 恢复 到 计算 机 的 玉 盘 
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6.2.2 其 他 数据 备份 和 数据 恢复 技术 简介 及 实例 

微软 公司 的 Windows 系列 操作 系统 和 Office 软件 几乎 人 人 都 在 用 ,它们 的 确 给 人 们 
的 工作 和 学 习 带 来 了 极 大 的 方便 ,可 以 说 它们 已 经 是 日 常生 活 中 必 备 的 系统 软件 和 应 用 
工具 。 但 遗憾 的 是 ,微软 的 操作 系统 并 不 是 十 分 完美 ,相信 有 不 少 人 都 遇 到 过 操作 系统 莫 
名 其 妙 地 不 能 工作 ,甚至 崩溃 无 法 使 用 的 情况 ,一 旦 发 生 这 类 问题 ,许多 人 都 束手无策 。 
如 果 是 网 络 操作 系统 裔 溃 , 损 失 会 更 大 ,会 导致 众多 用 户 不 能 享用 网 络 服务 。 当 然 ,可 以 
重新 安装 系统 和 应 用 软件 ,但 是 这 种 方法 并 不 是 最 好 的 解决 方式 。 因 为 一 是 重 装 系统 和 
应 用 软件 速度 太 慢 ,二 是 完全 重 装 不 一 定 能 将 系统 的 状态 完全 恢复 ,尤其 是 网 络 操作 系统 
的 一 些 配置 也 要 重新 设置 ,万 一 没有 留 有 配置 的 备份 ,恢复 原来 的 状态 是 很 难 的 。 因 此 ， 
怎样 才能 尽快 而 又 完整 地 恢复 系统 的 运行 状态 是 对 网 管 员 的 一 个 考验 。 下 面 介绍 两 个 非 
常 实用 的 有 关 数 据 备份 和 数据 恢复 的 软件 。 


1， Norton Ghost 软件 

现在 的 备份 软件 非常 多 ,但 是 最 为 著名 的 大 概 就 是 Symantec 公司 的 Norton Ghost。 
它 是 一 个 非常 出 色 的 硬盘 “克隆 "工具 软件 , 它 可 以 用 较 短 的 时 间 对 硬盘 数据 给 予 完整 的 
保护 。 它 不 仅 可 以 把 一 个 硬盘 中 的 全 部 内 容 完全 相同 地 复制 到 另 一 个 硬盘 中 ,还 可 以 将 
一 个 分 区 中 的 全 部 内 容 复 制 为 一 个 分 区 映像 文件 备份 到 另 一 个 分 区 中 ,可 以 很 方便 地 用 
映像 文件 还 原 系统 或 某 个 分 区 的 数据 ,最 大 限度 地 减少 安装 操作 系统 和 恢复 数据 的 时 间 。 

(1) Norton Ghost 的 用 途 

Norton Ghost( 以 下 简称 Ghost) 的 用 途 如 下 : 

@ 作为 灾难 恢复 的 备份 程序 。 如 果 磁 盘 或 分 区 由 于 磁盘 的 系统 区 域 或 文件 系统 损 
坏 而 无 法 访问 ,而 以 前 用 Ghost 创建 了 磁盘 映像 或 分 区 映像 文件 ,那么 就 可 以 使 用 该 文 
件 还 原 磁盘 或 分 区 。 如 果 磁 盘 或 分 区 受到 物理 性 损坏 , 则 可 以 使 用 映像 文件 将 该 磁盘 或 
分 区 还 原 到 另 一 个 硬盘 。 

@ 作为 文件 恢复 的 备份 程序 。 如 果 丢 失 了 文件 而 且 没 有 文件 备份 ,但 以 前 创建 了 磁 
盘 映 像 或 分 区 映像 文件 ,那么 就 可 以 使 用 Ghost 浏览 器 从 磁盘 映像 或 分 区 映像 中 提取 该 
文件 。 

@ 作为 将 计算 机 的 操作 系统 .程序 和 数据 文件 复制 到 新 计算 机 或 新 硬盘 的 一 种 
方法 。Ghost 不 同 于 其 他 类 型 的 备份 程序 , 它 被 设计 为 复制 整个 磁盘 或 分 区 ,而 不 是 
这 些 分 区 中 的 特定 文件 夹 或 文件 。Ghost 复 制 磁盘 或 分 区 的 速度 比 同类 的 其 他 程序 
要 快 。 

当 使 用 Ghost 创建 和 保存 映像 文件 时 ,Ghost 可 以 将 该 映像 文件 直接 保存 到 其 他 设 
备 ( 例 如 CD-R 或 CD-RW 驱动 器 、Zip 磁盘 、U 盘 、SCSI 磁带 机 等 )、 本 地 计算 机 上 的 硬盘 
或 远程 计算 机 上 的 硬盘 上 。 

下 面 简单 介绍 DOS 版 Ghost 的 用 法 ,因为 一 般 情况 下 系统 被 破坏 后 Windows 不 会 
再 启动 ,而 DOS 很 容易 启动 ,所 以 Ghost for DOS 更 为 实用 。Windows 版 的 用 法 和 原理 
基本 上 是 一 样 的 ,但 是 界面 更 加 友好 方便 。 先 介绍 几 个 有 关 的 术语 ,以 便 学 习 如 何 应 
用 Ghost。 


~、 


(2) 几 个 重要 术语 

Q@ 映像 文件 ,这 里 是 指 Ghost 软件 制作 的 以 . gho 为 后 缀 的 压缩 文件 。 

@ 源 盘 是 指 即将 要 备份 的 磁盘 ,一 般 情况 下 泛 指 操 作 系 统 盘 C 盘 。 

@ 映像 盘 是 指 存放 备份 映像 的 磁盘 ,一 般 情况 下 指 备 份 文件 存放 盘 , 如 D 盘 或 下 
盘 等 。 

@ 打包 是 指 制作 映像 文件 ,通常 是 指 将 操作 系统 盘 C 盘 经 压缩 后 存放 在 其 他 盘 如 
再 

@@ 解 包 是 指 还 原 映 像 文件 ,通常 是 指 在 系统 盘 C 盘 出 现 错误 或 系统 骨 溃 后 ,将 存放 
在 其 他 盘 中 的 映像 文件 还 原 到 系统 盘 ,以 恢复 正常 良好 的 操作 系统 。 

(3) 使 用 Ghost 之 前 的 准备 工作 

Ghost 昌 然 是 一 个 非常 好 的 “克隆 ?软件 ,但 是 如 果 不 小 心 还 是 容易 发 生 问题 ,万 一 操 
作 不 正确 会 使 问题 更 加 复杂 。 所 以 ,在 进行 任何 Ghost 操作 之 前 ,应 做 好 下 面 的 工作 。 

@ 在 备份 系统 时 单个 的 备份 文件 最 好 不 要 超过 2GB, 虽 然 大 于 它 也 能 完成 备份 ,但 
是 会 麻烦 一 些 。 因 此 ,在 备份 系统 前 最 好 将 一 些 无 用 的 文件 删除 ,以 减 小 Ghost 文件 的 
大 小 。 映 像 文件 应 尽量 保持 “干净 ”和 "瘦身 ”, 也 就 是 说 ,备份 的 源 文 件 要 无 病毒 并 且 应 用 
软件 要 尽 可 能 少 。 

@ 在 备份 系统 前 最 好 对 源 盘 和 镜像 盘 进 行 磁盘 碎片 整理 ,以 加 快 备份 速度 。 

@ 在 备份 系统 前 及 恢复 系统 前 应 对 源 盘 和 镜像 盘 进 行 磁 盘 错 误 检查 ,如 果 有 , 先 修 


复 磁 盘 错 误 系 统 。 
@ 备份 之 前 一 定 要 升级 杀毒 软件 后 仔细 完全 查 杀 一 次 病毒 ,如 有 可 能 ,下 载 好 各 种 
系统 安全 补丁 并 打 好 补丁 。 


@ 在 恢复 系统 时 ,最 好 先 检查 一 下 要 恢复 的 目标 盘 是 否 有 重要 的 文件 还 未 转移 ; 否 
则 ,恢复 后 目标 盘 上 的 原 有 数据 将 全 部 被 覆盖 ,重要 文件 就 会 丢失 。 

@ 在 选择 压缩 率 时 ,建议 不 要 选择 最 高 压缩 率 ,因为 会 耗 时 较 大 ,中 间 等 级 的 压缩 比 
较 好 。 

(4) 系统 盘 的 备份 方法 

下 面 以 对 系统 盘 ( 人 逻辑 盘 C 盘 . 分 区 为 C 区 ) 进 行 备份 /恢复 为 例 说 明 Ghost 的 用 法 。 
Ghost 的 启动 很 简单 ,在 DOS 环境 下 运行 Ghost 命令 ,或 者 有 的 专用 工具 盘 启 动 后 有 
Ghost 选项 ,选中 后 即 可 启动 。 启 动 后 进入 Ghost 界面 ,如 图 6-29 所 示 。 

单 击 OK 按钮 后 进入 操作 界面 ,如 图 6-30 所 示 。 

这 里 的 Local 是 对 本 地 硬盘 进行 操作 , 子 菜单 中 包括 对 硬盘 的 操作 (Disk)、 对 分 区 
(Partition) 的 操作 和 检查 功能 (Check) 。 因 为 操作 系统 的 备份 大 多 是 对 C 盘 的 备份 ,所 以 
单 击 Partition 命令 。 它 的 子 菜单 中 有 3 个 命令 : To Partition ,是 指 分 区 对 分 区 的 复制 ， 
将 一 个 分 区 的 内 容 复制 到 另 一 个 分 区 ,是 所 有 文件 的 复制 ,不 会 形成 一 个 映像 的 整体 文 
件 。To Image 是 指 备份 后 形成 一 个 映像 文件 ,即将 整个 分 区 (本 例 是 C 区 ) 备 份 成 一 个 单 
一 的 映像 文件 ,后 组 为 gho( 比 如 命名 为 windows. gho) 。 本 例 中 选择 该 选项 ,因为 C 区 是 
将 要 备份 的 分 区 。 另 一 个 选项 From Image 是 指 将 备份 好 的 映像 文件 (如 windows. gho) 
还 原 到 原来 的 分 区 ,如 果 备 份 的 是 系统 盘 就 能 恢复 Windows 的 正常 运行 。 
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图 6-30 Ghost 的 操作 界面 


此 时 , 单 击 Local( 本 机 )- 一 Partition (分 区 ) 一 To Image( 到 上 映像) 命令, 如 图 6-31 所 
示 ,打开 Select local source drive by clicking on the drive number 对 话 框 , 用 于 选择 本 地 
计算 机 中 要 备份 的 分 区 所 在 的 硬盘 .一般 情况 下 PC 只 有 一 块 硬盘 ,选中 即 可 。 有 的 服务 
器 会 有 两 块 以 上 的 硬盘 ,选择 的 时 候 要 格外 小 心 ,不 要 选 错 , 尤 其 不 要 选择 存放 有 重要 数 
据 的 硬盘 ,以 免 造 成 数据 损失 。 
单 击 OK 按钮 ,打开 Select source partition(s) from Basic drive:1 对 话 框 ,如 图 6-32 


所 示 ,选择 ; 


将 要 备份 的 分 区 ,本 例 选 择 要 备份 的 第 一 个 分 


里 。 按 键盘 上 的 Tab 键 选中 ,再 单 击 OK 按钮 。 


区 ,因为 系统 文件 一 般 都 放 在 这 


在 如 图 6-33 所 示 的 File name to copy image to 对 话 框 中 ,选择 生成 的 映像 文件 的 存 
放 位 置 ( 放 在 E:\ghostA 下 ) ,并 为 生成 的 映像 文件 命名 (此 处 为 windows. gho)。 
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图 6-31 选择 要 备份 的 分 区 所 在 的 硬盘 


E13: DISK1VOLI FAT drve 


图 6-33 选择 生成 的 映像 文件 的 存放 位 置 


第 6 章 网 络 数 据 存 储 的 管理 ee 


接 下 来 选择 压缩 模式 , 即 是 否 对 映像 文件 压缩 ,No 表示 不 进行 压缩 ,Fast 表示 小 比 
例 压缩 但 备份 工作 很 快 ,High 表示 高 压缩 比 但 备份 速度 相对 较 慢 ,占用 空间 小 。 这 里 选 
择 Fast 做 适量 压缩 ,如 图 6-34 所 示 。 


图 6-34 选择 映像 文件 的 压缩 类 型 


接 下 来 确认 是 否 开始 备份 , 单 击 Yes 按钮 ,如 图 6-35 所 示 。 


Tupe7 [NTFS], 19077 HB, 11331 HB used, No name 
from drive [1], 69443 HB 
Local file E:\ghost\windous 


所 
图 6-35 确认 Ghost 备份 过 程 开 始 


然后 开始 进行 备份 直至 显示 备份 完成 的 提示 ,如 图 6-36 所 示 为 打包 过 程 完成 。 

(5) 系统 盘 恢复 方法 

将 备份 的 操作 系统 还 原 虽然 是 做 系统 备份 的 逆 过 程 ,但 是 仍 有 一 些 要 注意 的 地 方 。 
当 操作 系统 遇 到 以 下 的 情况 之 一 时 ,考虑 用 Ghost 还 原 系统 。 

@ 怀疑 或 确定 操作 系统 中 了 病毒 或 木马 ,系统 运行 半 个 月 以 上 会 出 现 无 故 死机 。 

@ 不 明 原 因 的 操作 系统 变 慢 ,甚至 影响 正常 工作 。 

@ 操作 系统 由 于 各 种 原因 而 崩 演 ,根本 不 能 启动 或 运行 。 


Contnous 


77 HB, 11371 HB used, No name 
], 6944: 


图 6-36 ”Ghost 备份 过 程 完成 


@ 当 还 原 系 统 映 像 文 件 以 保证 系统 运行 状态 更 好 ,并 且 认 为 确实 需要 重新 恢复 系 
统 时 。 

需要 注意 的 是 在 使 用 Ghost 软件 还 原 操作 系统 时 , 切 勿 中 途 停止 。 如 果 在 还 原 过 程 
中 中 断 了 Ghost 恢复 过 程 或 重新 启动 了 计算 机 ,那么 系统 将 无 法 启动 ,系统 备份 或 备份 
还 原 会 前 功 尽 弃 。 当 然 也 有 解救 的 办 法 ,只 要 知道 备份 的 系统 映像 文件 存在 哪个 逻辑 盘 
的 哪个 路 径 下 ,并 且 知 道 备份 的 文件 名 ,就 能 够 恢复 系统 ,只 是 难度 大 一 些 。 所 以 应 该 尽 
量 避 免 发 生还 原 系统 时 突然 中 断 的 情况 ,注意 不 能 断 电 , 恢 复 系统 时 不 要 离开 ,不 要 随意 
按 动 鼠标 和 键盘 ,不 要 在 此 过 程 中 重启 计算 机 。 

还 原 过 程 如 下 : 

@ 启动 Ghost 后 , 单 击 Local( 本 机 ) 一 Partition( 分 区 ) 一 From Image 命令 ,打开 如 图 
6-37 所 示 的 对 话 框 , 在 备份 的 分 区 中 选择 备份 好 的 文件 E:\ghost\windows. gho。 


TI 


图 6-37 选择 备份 好 的 文件 
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@ 选择 好 文件 后 按 回 车 键 ,打开 Select source partition from image file 对 话 框 ,选择 
映像 文件 存放 的 分 区 , 单 击 OK 按钮 ,如 图 6-38 所 示 。 


图 6-38 选择 映像 文件 所 在 的 分 区 


@ 在 打开 的 如 图 6-39 所 示 的 Select destination partition from basic drive: 1 对 话 框 
中 ,通过 选择 驱动 器 号 选择 要 恢复 到 的 目标 驱动 器 。 注 意 ,保存 有 映像 文件 的 驱动 器 显示 
为 红色 ,不 要 选择 。 因 为 此 处 要 恢复 到 C 盘 , 所 以 选择 1。 


图 6-39 选择 驱动 器 号 


@ 单 击 OK 按钮 后 接着 询问 是 否 开始 还 原 到 要 装载 的 分 区 ,并 提示 此 分 区 的 数据 将 
被 永久 性 覆盖 ,所 以 在 单 击 Yes 按钮 之 前 要 想 清楚 再 操作 ,如 图 6-40 所 示 。 

回 然后 Ghost 开始 还 原 映像 文件 ,进度 条 显示 执行 进度 ,如 图 6-41 所 示 。 

还 原 过 程 中 不 要 进行 任何 操作 。 此 时 需要 注意 : 

@ 不 要 做 任意 操作 ,否则 会 带 来 不 可 预见 的 后 果 , 包 括 系 统 不 能 启动 。 

@ 不 要 按键 盘 , 不 要 关机 ,耐心 等 待 到 还 原 结束 。 

还 原 完成 后 如 图 6-42 所 示 。 


Type:? [NTFS], 19077 HB, 2117 HB used, No name 
from Local file E:\ghost\windows, 69443 HB 

Type:7 [NTFS], 19077 HB 

from Local drive [1], 69443 HB 


所 


图 6-40 是否 开始 还 原 到 要 装载 的 分 区 


ymante + 11.5 Copyright CC) 1998-2008 Symanteo Corporation. AI right 


Type:e [Fat321, 19077 HB, 1632 HB used, DISK1_VOLL 
frem Local file F:\GHOST\MINDONS.6H0, 69443 HB 

Type:e [Fat32], 19077 HB 

from Local drive [2], 69443 HB 


所 
图 6-41 开始 还 原 喘 像 文件 


Smanfe Phosf 11.5 Topyrighi CC 1998-2008 Somaniee Corporalion 


Clone Complete (1912 


Tepexe [Fat321, 19077 HB, 1632 HB used, DISKE_VOLL 
frem Local file F:\6NOST\HINDONS.6HO, 69443 HB 
Type:e [Fat32], 19077 HB 

from local drive [21, 69443 HB 


图 6-42 还 原 完成 


Beset Computer 
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操作 完成 后 按 回 车 键 ,重新 启动 计算 机 后 系统 就 恢复 了 ,而 且 与 原来 的 系统 被 损坏 之 
前 完全 一 样 。 

Ghost 不 仅 能 够 备份 分 区 ,还 能 实现 整个 硬盘 的 复制 ,可 以 将 整个 硬盘 备份 成 一 个 映 
像 文件 ,以 便 在 需要 时 将 这 个 硬盘 恢复。 特别 值得 一 提 的 是 , 它 能 实现 两 块 硬盘 之 间 的 对 
拷 , 这 有 助 于 在 机 房 中 为 许多 台 同 种 类 型 的 计算 机 快速 安装 操作 系统 ,只 需要 一 块 硬盘 备 
份 好 要 装 的 系统 及 应 用 程序 ,利用 Ghost 工具 可 节约 实验 室 工作 人 员 的 很 多 时 间 。 总 
之 ,Ghost 是 一 个 非常 有 用 的 分 区 和 硬盘 备份 /恢复 工具 ,用 好 它 会 受益 无 穷 。 但 是 ,最 好 
在 真正 做 重要 备份 之 前 进行 反复 练习 ,以 免 不 小 心 操作 错误 导致 数据 意外 丢失 。 

无 论 是 Windows 的 备份 工具 还 是 “克隆 "工具 Ghost, 都 有 一 个 共同 的 特点 ,就 是 防 
患 于 未 然 。 它 们 都 是 预防 在 先 , 先 做 好 备份 ,妥善 保管 好 ,需要 时 再 恢复 ,不 能 等 数据 损坏 
了 青 去 弥补 ,这 是 最 好 的 措施 。 重 在 预防 应 该 是 网 管 人 员 所 秉持 的 原则 。 但 是 ,任何 人 都 
不 能 保证 不 会 发 生 数 据 被 损坏 而 恰恰 没有 备份 的 情况 。 比 如 某 个 文件 被 意外 删除 ,或 者 
某 个 硬盘 被 意外 格式 化 ,或 者 有 数据 的 分 区 被 意外 重新 分 区 而 使 数据 丢失 等 ,都 是 在 没有 
备份 文件 的 情况 下 发 生 的 。 一 定 要 尽量 避免 发 生 这 些 情况 ,但 是 万 一 发 生 了 也 不 要 绝望 ， 
一 定 要 记 住 在 做 完 删除 或 格式 化 操作 之 后 尽量 不 要 做 进一步 的 其 他 操作 ,以 免 被 删除 或 
格式 化 的 那 部 分 硬盘 记 区 被 新 的 文件 覆盖 ,这样 会 加 大 数据 恢复 的 难度 ,然后 找 一 些 比较 
知名 的 恢复 软件 就 有 可 能 将 丢失 的 文件 找 回来 。 下 面 简单 介绍 一 个 非常 知名 而 又 好 用 的 
数据 恢复 软件 EasyRecovery。 


2. EasyRecovery 软件 

(1) EasyRecovery 简介 

EasyRecovery 是 Ontrack 公司 著名 的 数据 恢复 和 文件 修复 软件 。 它 启动 后 的 界面 
如 图 6-43 所 示 ,可 以 看 到 有 几 个 菜单 项 ,包括 磁盘 诊断 数据 恢复 、 文 件 修复 、 邮 件 修复 、 
软件 更 新 和 救援 中 心 。 后 两 个 与 数据 恢复 和 文件 修复 没有 直接 关系 ,主要 用 于 软件 更 新 
以 及 用 EasyRecovery 解决 不 了 问题 时 向 Ontrack 公司 求助 。 


6-43 EasyRecovery 的 操作 界面 


A 网 络 管理 与 安全 
前 4 项 的 子 功能 如 图 6-44 一 图 6-47 所 示 。 


驱动 器 测试 高 级 恢复 
一 一 智能 测试 删除 恢复 
一 一 大 小 管理 器 格式 化 恢复 
磁盘 诊断 数据 恢复 
一 一 跳 线 查 看 器 原始 恢复 
一 一 |_ 分 区 测试 一 一 继续 恢复 
数据 顾问 紧急 引导 盘 
图 6-44 磁盘 诊断 及 其 子 功能 图 6-45 数据 恢复 及 其 子 功能 
Access 修 复 
Excel 修 复 
- Outlook 修复 
林 PowerPoint 
文件 修复 修复 
Word 修 复 | 邮件 修复 一 
Outlook Express 
一 一 。 Zip 修复 
图 6-46 文件 修复 及 其 子 功能 图 6-47 邮件 修复 及 其 子 功能 


由 此 可 以 看 出 ,EasyRecovery 的 主要 功能 有 磁盘 诊断 .数据 恢复 和 文件 修复 。 它 是 
一 个 功能 非常 强大 的 工具 软件 。 由 于 不 可 能 把 所 有 的 功能 都 详细 地 讲解 ,下 面 主要 以 “ 数 
据 恢复 ”为 例 进行 说 明 。 该 功能 包括 “高 级 恢复 ”, 主 要 以 自 定义 的 文件 格式 恢复 丢失 的 数 
据 ;* 删 除 恢 复 ” 主 要 恢复 意外 地 做 了 删除 操作 后 删除 的 文件 ;* 格 式 化 恢复 ”针对 被 格式 化 
的 硬盘 .软盘 或 U 盘 的 数据 进行 恢复 ;* 原 始 恢复 ”的 功能 最 强大 ,能够 把 很 久 以 前 丢失 的 
文件 尽 可 能 多 地 恢复 ,但 是 用 的 时 间 会 比较 长 ;继续 恢复 ”完成 中 断 了 的 恢复 ;“ 紧 急 引 导 
盘 ” 用 于 创建 引导 盘 。 与 数据 恢复 有 关 的 功能 如 图 6-48 所 示 。 

(2) EasyRecovery 用 法 

下 面 通过 一 个 格式 化 的 U 盘 恢 复 的 实例 来 讲解 EasyRecovery 的 用 法 。 现 在 U 盘 中 
存 有 “网 站 设计 ”文件 夹 , 其 中 存 有 一 些 文件 ,如 图 6-49 所 示 , 对 U 盘 进 行 格式 化 后 文件 
会 丢失 。 

运行 EasyRecovery 后 选择 “数据 恢复 ”中 的 “格式 化 恢复 ”选项 ,用 于 将 经 过 格式 化 的 
U 盘 恢 复 , 以 减少 由 于 格式 化 误 操 作 导 致 数据 丢失 带 来 的 损失 ,如 图 6-50 所 示 。 

如 图 6-51 所 示 ,选中 被 格式 化 过 的 盘 符 (这 里 是 H 盘 ), 并 选择 文件 格式 ,此 处 为 
FAT 16 格式 。 注 意 不 要 选 错 ,并 仔细 阅读 “格式 化 恢复 ”中 的 文字 说 明 , 以免 操作 
失误 。 
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删除 恢复 
查找 并 恢复 已 删除 的 文件 


原始 恢复 
不 含 任何 文件 系统 
卷 中 履 复 文件 结构 信息 的 恢复 


继续 恢复 紧急 引导 盘 
把 续 已 保存 的 数 
rt 创建 民 急 引导 盘 


删除 恢复 
苔 semenrf 


ws 原始 恢复 
不 含 任何 文件 系统 
结构 信息 的 恢复 


紧急 引导 盘 
| 园 sexsslssa 


图 6-50 选择 “格式 化 恢复 ?选项 
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图 6-51 选中 被 格式 化 过 的 盘 符 


单 击 “ 下 一 步 ” 按 钮 ,扫描 过 程 如 图 6-52 所 示 , 软 件 开始 对 H 盘 进 行文 件 扫 描 , 这 个 
过 程 用 于 寻找 可 以 恢复 的 目录 和 文件 ,并 提示 找到 多 少 上 日 录 和 文件 。 


图 6-52 扫描 要 恢复 的 盘 符 


扫描 完成 后 结果 如 图 6-53 所 示 , 其 中 在 文件 夹 LOSTFILE 下 可 以 看 到 许多 以 
DIR0、DIR1、DIR2 等 为 目录 名 的 文件 夹 . 这 些 都 是 有 可 能 恢复 的 文件 夹 ,分 别 打 开 这 些 
文件 夹 , 就 可 以 看 到 被 格式 化 过 的 文件 夹 或 文件 。 比 如 本 例 是 由 于 对 H 盘 进 行 格式 化 而 
导致 “网 络 设计 ”文件 夹 及 其 文件 夹 中 的 文件 丢失 ,经 过 恢复 操作 ,可 以 看 到 在 恢复 的 DIRO 
文件 夹 下 “网络 设计 ”文件 夹 已 经 被 找到 。 当 然 , 有 可 能 找到 的 文件 很 多 ,因为 有 的 可 能 是 很 
久 以 前 被 格式 化 或 删除 的 文件 ,没有 必要 把 它们 都 恢复 ,只 恢复 想 要 的 那 一 部 分 即 可 。 另 外 
还 要 注意 的 是 ,过 滤器 选项 可 以 选 出 想 要 的 那 种 格式 的 文件 (以 后 缀 名 为 过 滤 项 ) ,有 的 格式 
不 必 列 到 选 出 的 文件 中 ,只 选 出 有 用 的 文件 格式 ,这 样 可 以 减少 恢复 文件 所 用 的 时 间 。 

单 击 “下 一 步 ? 按 钮 ,如 图 6-54 所 示 ,需要 注意 以 下 几 方面 内 容 。 

@ 想 把 文件 恢复 到 什么 位 置 , 即 “恢复 目的 地 选项 ”选项 区 域 中 的 设置 。 有 两 个 方 
法 ,第 一 可 以 恢复 到 本 地 驱动 器 ,这 个 方法 比较 方便 也 容易 实现 ,本 例 就 是 想 恢 复 到 E:\ 
恢复 \ 目 录 下 。 第 二 可 以 恢复 到 一 个 FTP 服务 器 上 ,假如 网 络 中 有 FTP 服务 ,也 可 以 恢 
复 到 该 服务 器 ,只 需 输入 它 的 IP 地 址 即 可 ,只 是 这 种 方法 不 如 前 一 种 方法 方便 可 行 。 

@ 是 否 想 生成 一 个 ZIP 格式 的 压缩 文件 ,如 果 是 可 以 选中 “创建 Zip” 复 选 框 ,并 限定 
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”人 到 “日 的 过 冯 ” 屏 而. 达 搓 “后退 ” 运 了 到 “分 区 这 笃 " 


IE EE ] 


日 | LDSTFILE i111m 3/2/2005 
日 国 久 TD 4.27 玛 3/2/2005 
El St 913 字 节 3/2/2005 
国外 I sim 3/2/2005 
日 全 DTRIO 2.23 到 3/2/2005 
BS 本 139 字 节 7/18/2005 
ms 3.24 0 3/2/2005 
BD rr 294 字 节 3/2/2005 
DIE2 
[ml] i | 国 


EE 
li7.88 班 在 8 个 文件 显示 
厂 使 用 过 小 器 W) 。 过 涛 器 迁 项 @) | 。 查找 。 | 查看 文件 | 


Dm mm 
3.31 上 在 21 个 文件 已 标记 


le syRecovery Professional 


— we | 
FTF 选项 


QE Yip 一 习 zi 文件 大 小 于 制 mB) 


报 省 
[5 生成 恢复 报 省 


[TAR 


图 6-54 设置 恢复 后 的 文件 参数 


文件 的 大 小 。 本 例 不 做 压缩 文件 。 
@ 是 否 想 生成 一 个 关于 恢复 的 报告 .如 果 是 选中 “生成 恢复 报告 " 复 选 框 ,软件 会 用 

txt 文档 将 恢复 目录 和 文件 的 所 有 信息 清楚 地 列 在 

报告 中 ,这 是 很 有 好 处 的 。 本 例 要 生成 一 个 恢复 : 

文档 , 放 在 E:\ 恢 复 \report. txt 中 。 a 
单 击 “ 下 一 步 "按钮 ,开始 将 要 恢复 的 文件 夹 和 ep 

文件 复制 到 选择 的 目录 中 ,如 图 6-55 所 示 。 i 
复制 完成 后 ,如 图 6-56 所 示 为 一 个 简单 的 恢 


复 报告 ,这 个 报告 没有 前 面 存储 的 那个 报告 文件 ”图 655 将 要 恢复 的 文件 夹 和 
详细 。 文件 复制 到 目的 地 


2 


人 中。 达 掺 “后退 "下 到“ 


rack EasyRecovery - 格式 化 恢复 加 
权 所 有 (c) 2000-2007 Kroll Ontrack Inc. 
告 创建 于 8/20/2007 @ 9:29 PN 


DragonDisk 
人 21 不 过 证 的 文生 
复 3.31 ]B 数据 。 
已 恢复 到 E:\ 恢 复 \。 
已 恢复 21 个 文件 。 


已 恢复 3. 31 了 数据 。 


图 6-56 恢复 后 的 报告 


系统 接着 询问 是 否 保存 恢复 状态 以 便 今后 使 用 ( 见 图 6-57) ,也 就 是 说 在 恢复 过 程 中 
设 定 的 参数 ,比如 过 滤 的 文件 格式 等 可 能 会 在 下 一 次 用 到 , 则 单 击 “ 是 "按钮 ,把 它 作 为 一 
个 文件 保存 起 来 下 次 使 用 。 若 不 想 用 则 可 单 击 “ 否 ”按钮 ,本 例 选择 “ 否 ” 按 钮 。 


图 6-57 是 否 保存 恢复 状态 


至 此 ,被 格式 化 的 U 盘 ( 本 例 在 操作 系统 中 显示 为 H 盘 ) 上 的 文件 夹 和 文件 已 经 被 
恢复 ,如 图 6-58 所 示 。 


文件 E) 护 辑 G) 查看 外) 尿 意 愉 工具 GD) 帮助 0 
Om - © -FB| Pm Dma | 


LTIOETRITOITTTTT 


图 6-58 ”恢复 的 文件 夹 和 文件 
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通过 这 个 例子 可 以 得 到 启发 ,网 络 管理 员 应 该 把 数据 保护 的 重要 性 放 在 极为 重要 的 
地 位 ,尤其 对 于 系统 文件 和 重要 场合 的 重要 数据 更 是 不 能 大 意 , 有 时 可 能 会 因为 一 点 小 的 
玻 忽 造成 很 大 的 失误 ,后 果 会 很 严重 。 所 以 ,一 定 不 要 怕 麻 烦 , 先 做 好 备份 是 保证 万 无 一 
失 的 最 好 手段 。 但 是 ,万 一 数据 被 损坏 了 而 又 没有 备份 ,也 不 要 万 分 肖 丧 ,因为 还 有 解救 
的 办 法 ,这 里 只 介绍 了 一 种 工具 EasyRecovery 的 应 用 ,实际 上 还 有 不 少 可 用 的 恢复 数据 
的 工具 可 以 试 试 ,虽然 不 是 每 个 都 有 用 ,但 总 比 束 手 无 策 强 。 还 要 注意 的 是 ,虽然 有 一 些 
软件 可 以 恢复 数据 ,但 是 没有 一 个 可 以 保证 万 无 一 失 , 百 分 之 百 地 完全 恢复 是 不 可 能 的 ， 
网 管 人 员 应 该 把 防范 放 在 首位 。 如 果 尝 试 后 仍 不 能 恢复 原来 的 数据 ,最 后 的 方法 就 是 请 
专门 的 数据 恢复 公司 帮忙 。 


6.3 思考 和 练习 


. 按 应 用 方式 分 ,网 络 数据 存储 管理 的 内 容 可 以 分 为 几 个 方面 ? 
.RAID 技术 的 含义 是 什么 ? 

. RAID 1 和 RAID 5 各 有 什么 特点 ? 分 别 用 于 什么 场合 ? 

. 简 述 NAS 技术 的 原理 和 特点 。 

. 简 述 SAN 技术 的 原理 和 特点 。 

.Windows Server 2003 有 几 种 备份 类 型 ? 

.Norton Ghost 的 主要 用 途 是 什么 ? 

.EasyRecovery 的 主要 用 途 是 什么 ? 


6.4 实 训 练习 


实 训练 习 1 

利用 Windows XP 或 Windows Server 2003 进行 数据 备份 的 练习 。 

要 求 : 

(1) 将 硬盘 D 盘 上 某 个 文件 夹 备 份 到 U 盘 上 ,注意 U 盘 的 容量 应 足够 大 。 

(2) 将 D 盘 上 备份 出 来 的 那个 文件 夹 删除 ,然后 将 备份 在 U 盘 的 文件 夹 还 原 到 原来 
的 位 置 。 

实 训练 习 2 

尝试 用 Ghost 为 计算 机 的 C 盘 做 一 个 在 D 盘 或 上 盘 上 的 系统 备份 文件 (备份 成 映像 
文件 win. gho) 。 

要 求 : 

(1) 操作 之 前 应 搞 清楚 哪个 是 要 备份 的 源 分 区 和 目标 分 区 , 放 备 份 文件 的 目标 分 区 
应 把 重要 的 文件 先 复制 出 来 ,以 免 操 作 不 慎 造 成 重要 文件 丢失 。 

(2) C 盘 空 间 不 要 占用 太 多 ,以 免 生成 的 备份 文件 大 于 2GB, 会 增加 备份 和 还 原 的 复杂 度 。 

(3) 仔细 阅读 第 6 章 关 于 Ghost 使 用 方法 的 描述 , 按 步骤 操作 。 

(4) 备份 完成 win. gho 文件 后 , 作 C 盘 的 还 原 操作 ,并 且 让 系统 重新 启动 ,验证 是 否 
将 C 盘 完 整 还 原 。 
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7.1 Windows Server 2003 的 安全 设置 


Windows Server 2003 是 典型 的 多 用 户 操 作 系 统 , 每 个 用 户 拥 有 自己 的 系统 配置 以 
及 权限 .许可 。Windows Server 2003 通过 识别 不 同 的 用 户 账号 ,赋予 用 户 不 同 的 权限 。 

通过 用 户 账号 可 以 完成 以 下 操作 : 

GD 确定 当前 计算 机 的 使 用 者 ,把 计算 机 使 用 者 和 用 户 联系 起 来 ,每 个 使 用 者 有 属于 
自己 的 一 个 用 户 账号 。 

@ 可 以 赋予 用 户 不 同 的 权限 (right) 及 许可 (permission) ,控制 用 户 对 资源 的 访问 。 

@ 每 个 用 户 都 应 该 使 用 属于 自己 的 用 户 账号 进行 登录 ,为 了 保证 用 户 账号 不 被 其 他 
用 户 冒 用 ,为 账号 设 定 密码 。 

当 用 户 登 录 系统 时 ,系统 会 弹出 一 个 登录 验证 框 , 进 行 验 证 。 用 户 需 要 输入 自己 的 用 
户 名 和 密码 ,计算 机 将 信息 与 SAM(Security Account Manager) 中 存储 的 条 目 进 行 比 较 
并 确定 符合 条 件 后 ,用户 才能 通过 身份 验证 ,从 而 登录 到 计算 机 ,获得 对 资源 的 访问 权限 。 
7.1.1 用 户 管理 与 账户 策略 

在 Windows Server 2003 下 通过 用 户 账 号 和 用 户 组 的 管理 策略 ,可 以 对 用 户 进 行 授 
权 和 控制 ,使 用 户 在 授权 范围 内 合法 使 用 系统 资源 。 


1. 建立 新 用 户 

通过 单 击 “开始 ”管理 工具 ”计算 机 管理 ”命令 ,打开 “计算机 管理 ”窗口 ,在 左边 
人 系统 工具 ”目录 下 ,选择 “本 地 用 户 和 组 ”项 ,在 右边 窗 格 中 可 以 看 到 包括 用 户 账 
\ 用 户 全 名 和 对 应 账号 的 详细 描述 信息 。 在 这 里 可 以 建立 新 用 户 和 组 ,并 能 对 用 户 和 组 
区 入 入 强 ( 靖 他 7-1 所 示 ) 。 

选择 “用 户 ?项 ,在 右边 窗 格 中 单 击 鼠 标 右键 ,在 弹出 的 快捷 菜单 中 单 击 “新 用 户 ” 命 
令 , 可 以 建立 一 es 


2. 建立 账号 
下 面 以 建立 用 户 lancy 为 例 来 说 明 建立 一 个 账号 的 过 程 。 
单 击 “ 新 用 户 ” 命 令 , 打 开 “ 新 用 户 ” 对 话 框 (如 图 7-2 所 示 ) ,输入 对 应 的 信息 。 在 “用 
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ASP_IET 计算 机 帐户 用 于 运行 ASP._ NWET 辅助 进程 (as 


供 来 宾 访问 计算 机 或 访问 域 的 内 
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图 7-1 建立 新 用 户 ( 一 ) 
户 名 ”文本 框 中 输入 用 户 登 录 使 用 的 匿名 ,“ 全 名 ”文本 框 中 输入 用 户 的 真名 ,方便 管理 员 


识别 不 同 的 用 户 ,能 确切 知道 这 个 用 户 的 真实 身份 ,所 以 一 般 输 入 对 应 用 户 的 真名 。“ 描 
述 " 文 本 框 中 可 输入 更 多 的 账号 信息 ,方便 管理 。 在 “密码 "文本 框 中 输入 自己 容易 记忆 并 


具有 一 定 复杂 度 的 用 户 密码 。 为 防止 用 户 密 
码 输入 错误 ,需要 对 密码 进行 确认 。 在 该 对 话 
框 的 最 下 面 有 4 个 复 选 框 ,这 里 选中 “用 户 不 
能 更 改 密码 ”和 “密码 永 不 过 期 " 复 选 框 ( 如 
图 7-2 所 示 )。 这 样 ,当前 建立 的 用 户 lancy 可 
以 使 用 系统 管理 员 提 供 的 账号 和 密码 来 登录 
使 用 系统 ,但 不 可 以 修改 密码 。 在 批量 建立 账 
号 时 ,管理 员 建 立 的 新 账号 将 具有 统一 的 初始 
密码 ,此 时 可 选中 “用 户 下 次 登录 时 须 更 改 密 
码 " 复 选 框 。 信 息 输入 完毕 后 , 单 击 “ 创 建 " 按 
钮 , 即 可 建立 一 个 新 用 户 。 建 立 一 个 新 用 户 
后 ,该 用 户 默认 被 加 入 users 组 , 即 新 建 用 户 
具备 users 组 的 所 有 权限 。 


3. 账号 管理 


| 
用 户 名 四 : hancy 
全 名 四): ancy 
描述 四 ) ES 


密码 台 ): CE 
[al 


扩 用 户 丰 次 登录 时 须 更 改 放 到 全) 


Er 


图 7-2 建立 新 用 户 ( 二 ) 


采用 下 面 的 方法 可 以 修改 账号 密码 。 选 择 对 应 的 账号 , 单 击 鼠 标 右键 ,在 弹出 的 快捷 
菜单 中 ,可 以 通过 “设置 密码 ”选项 来 修改 账号 密码 。 在 设置 用 户 密码 时 ,密码 的 选择 一 定 
要 具备 一 定 的 规则 ,一 则 自己 容易 记忆 ,二 则 避免 账号 密码 丢失 造成 损失 。 

要 对 用 户 账号 进行 更 好 的 管理 ,可 以 通过 账号 的 属性 对 话 框 来 设置 。 

下 面 介 绍 属性 对 话 框 中 几 个 比较 重要 的 选项 卡 的 设置 和 功能 。 


区 


(1)“ 常 规 ” 选 项 卡 

在 如 图 7-3 所 示 的 “常规 ”选项 卡 中 ,可 以 看 到 当前 账号 的 名 称 ,并 可 以 修改 用 户 账号 
的 全 名 和 描述 信息 。 同 时 ,可 以 对 账号 的 状态 进行 控制 。 比 如 要 求 用 户 登 录 时 修改 密码 ， 
则 选中 “用 户 下 次 登录 时 须 修改 密码 ” 复 选 框 即 可 。 如 果 当 前 用 户 离开 了 单位 ,或 者 该 账 
号 已 经 被 盗用 等 情况 出 现时 ,需要 停止 当前 账号 的 使 用 ,此 时 可 以 选中 “账户 已 禁用 " 复 选 
框 , 则 当前 用 户 不 可 登录 系统 。 如 果 要 禁止 用 户 使 用 lancy 账号 登录 , 则 只 需要 选中 “ 账 
户 已 禁用 " 复 选 框 。 要 启用 该 账号 ,取消 选中 “账户 已 禁用 ” 复 选 框 即 可 。 

(2)“ 隶 属于 "选项 卡 

切换 到 如 图 7-4 所 示 的 “隶属 于 ”选项 卡 ,可 以 看 到 当前 账号 属于 哪个 用 户 组 。 一 个 
用 户 如 果 属 于 一 个 用 户 组 , 则 具备 当前 用 户 组 所 具备 的 权限 。 在 Windows 平台 下 ,为 了 
方便 管理 大 量 的 用 户 ,微软 公司 提供 了 用 户 组 的 方法 来 建立 新 用 户 。 建 立新 用 户 时 ,由 于 
用 户 很 多 ,并 且 每 个 用 户 都 具备 同样 的 权限 ,如 果 管 理 员 一 个 个 地 去 设置 ,会 很 费时 。 
Windows 基于 此 ,在 用 户 管理 方面 ,引入 了 用 户 组 的 方法 。 当 前 用 户 lancy 属于 默认 的 
users 组 , 则 当前 用 户 lancy 具备 users 组 所 具备 的 权限 。 一 个 用 户 可 以 属于 多 个 不 同 的 
用 户 组 ,当前 用 户 具备 每 个 用 户 组 的 权限 。 比 如 ,要 把 用 户 lancy 提升 为 系统 管理 员 , 则 
需要 把 该 账号 加 入 到 Administrators 组 中 。 


下 用 户 下 次 登录 时 须 更 改革 否 0 
厅 用 户 不 能 更 改 密码 ) 

太 密码 永 不 过 期 到 ) 

厂 账户 已 禁用 @) 

了 下 账户 巨 柄 定妆 7 


Ei 


取消 应 用 办 ) 
图 7-3 “常规 ”选项 卡 图 7-4 “隶属 于 ?选项 卡 


在 “隶属 于 ?选项 卡 中 , 单 击 * 添 加 ”按钮 ,在 弹出 的 “选择 组 ?对 话 框 中 (如 图 7-5 所 
示 ) ,选择 要 加 入 的 组 ,这 里 选择 Administrators 组 并 单 击 “ 确 定 ” 按 钮 , 则 lancy 用 户 将 具 
备 系统 管理 员 的 功能 。 

(3)“ 配 置 文件 ”选项 卡 

要 删除 一 个 账号 , 右 击 对 应 的 账号 ,在 弹出 的 快捷 菜单 中 选择 “删除 ”命令 , 即 可 删除 。 
系统 安装 完成 后 ,一般 会 在 安装 的 过 程 中 建立 Administrator 账号 .Guest 和 iuser_gzhmt 
的 账号 。Administrator 是 系统 管理 员 账 号 ,具备 最 高 的 权限 ;Guest 是 来 宾 账 号 ;iuser_ 


第 7 章 网 络 安全 管理 、 
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自 上 次 舍 录 后 的 天 当代 ) S| 


图 7-5 对 用 户 以 组 模式 授权 


gzhmt 是 Internet 来 宾 账 号 ,一 般 在 建立 一 个 Web 服务 器 时 ,授权 给 对 网 站 数据 库 有 写 
人 权限 的 来 访 者 。 


7.1.2 密码 策略 


为 了 增强 用 户 账 号 密码 的 安全 性 ,可 以 制定 密码 策略 ,用户 在 新 建 用 户 设 定 密码 或 更 
改 用 户 密码 时 ,受制 于 密码 策略 的 限制 ,避免 用 户 设 定 过 于 简单 的 密码 ,导致 账号 丢失 及 
密码 被 破解 而 给 用 户 带 来 的 损失 。 但 如 果 用 户 密 码 设 定 符合 密码 策略 , 则 可 大 大 提高 密 
码 破解 的 难度 。 

要 建立 密码 策略 ,可 在 “本 地 安全 设置 "窗口 中 完成 ,方法 如 下 : 

依次 单 击 * 开 始 ” 一 “管理 工具 ”本 地 安全 策略 ?命令 ,可 打开 如 图 7-6 所 示 的 “本 地 


安全 设置 ”窗口 。 在 左 侧 窗 格 中 选择 “账户 策略 "下 的 “密码 策略 ”项 ,在 右边 的 窗 格 中 可 看 
到 相关 的 6 条 密码 策略 。 


本 地 安全 设置 


文件 操作 W) 查看 帮助 0 


史 
策略 
由 晶 IP 安全 策略 ,在 本 地 计算 机 用 可 还 原 的 加 密 来 入 存 密码 


图 7-6 “本 地 安全 设置 "窗口 
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1. 密码 必须 符合 复杂 性 要 求 

启用 该 选项 , 则 要 求 在 为 新 建立 的 账号 设 定 密码 或 修改 用 户 密码 时 ,要 符合 
Windows 系统 要 求 的 密码 筛选 器 的 复杂 性 要 求 , 如 果 不 符合 要 求 , 则 系统 要 求 重新 设 定 
密码 。 密 码 筛选 器 DLL 是 在 NT 4 上 的 可 用 选项 ,现在 内 建 到 Windows 2000 和 
Windows Server 2003 中 。 密 码 筛选 器 定义 了 许多 要 求 , 如 包含 的 字符 长 度 ,是 否 允 许 使 
用 用 户 名 或 部 分 用 户 名 等 。 

要 启用 该 选项 , 先 双击 该 选项 ,在 弹出 的 窗口 中 “已 启用 ” 单 选 按 钮 即 可 (如 图 7-7 所 示 ) 。 


2. 密码 长 度 最 小 值 

该 策略 要 求 设 定 密码 时 ,密码 的 长 度 必 须 大 于 该 数值 ,避免 用 户 忘 记 设 定 密码 或 设置 
的 密码 长 度 过 短 。 

要 启用 该 选项 ,双击 该 选项 ,在 弹出 的 窗口 中 指定 密码 最 少 的 字符 个 数 , 比如 设 定 密 
码 的 最 小 长 度 为 8 个 字符 (如 图 7-8 所 示 ) 。 
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图 7-7 “密码 必须 符合 复杂 性 要 求 属性 "对 话 框 图 7-8 “密码 长 度 最 小 值 属性 ?对 话 杠 


3. 密码 最 长 使 用 期 限 

设置 密码 过 期 时 间 ,要 求 用 户 使 用 一 个 密码 的 时 间 不 能 超过 该 期 限 , 超 过 后 系统 将 提 
示 修 改 ( 如 图 7-9 所 示 )。 

4. 密码 最 短 使 用 期 限 

设置 密码 最 短 使 用 期 限 , 则 在 该 期 限 内 用 户 不 能 修改 密码 (如 图 7-10 所 示 )。 


密码 最 长 使 用 期 限 尾 性 ?|x|| 密码 最 短 使 用 期 限 尾 性 Tx 
本 地 安全 设置 | 本 地 安全 设置 | 
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取消 到 用 克 
图 7-9 “密码 最 长 使 用 期 限 属性 ”对 话 框 图 7-10 “密码 最 短 使 用 期 限 属性 ”对 话 框 


5. 强制 密码 历史 
通过 该 选项 可 以 指定 某 个 给 定 密码 在 a 
再 次 使 用 前 试用 不 同 密码 的 数目 (如 esa| 
图 7-11 所 示 )。 例 如 ,假若 设 定 值 为 3, 如 | 恒 
果 试用 3 次 密码 都 不 对 , 则 不 能 再 次 进 次 


密码 输入 。 i 


6. 用 可 还 原 的 加 密 来 储存 密码 

用 于 告诉 域 控制 器 只 能 以 可 逆 加 密 方 
式 存 储 密 码 , 这 种 方式 可 能 导致 安全 性 下 
降 。 密 码 通常 以 单 向 散 列 加 密 方 式 存储 。 图 7-11 设置 保留 密码 历史 
如 果 只 需要 为 某 个 账号 设置 该 选项 ,可 以 在 
该 用 户 账 户 属性 中 启用 该 选项 。 
7.1.3 账户 锁定 策略 

通过 单 击 “ 管 理工 具 ” 一 “本 地 安全 策略 ”命令 ,在 弹出 的 窗口 中 展开 * 安 全 设置 
目录 树 ,选择 “账户 策略 ”下 的 “账户 锁定 策略 ”项 ,在 该 窗口 中 可 以 设置 账号 的 锁定 
参数 。 


1. 复位 账户 锁定 计数 器 

该 设置 用 于 定义 在 失败 尝试 登录 多 长 时 间 后 计数 重新 开始 。 比 如 ,假设 复位 计数 
3 分 钟 , 登 录 尝 试 为 4 次 。 如 果 拼 错 3 次 ,可 
以 在 第 3 次 尝试 后 等 待 3 分 钟 , 就 又 得 到 4 
次 尝试 机 会 (如 图 7-12 所 示 ) 。 


2. 账户 锁定 时 间 

该 设置 用 于 定义 账户 锁定 的 时 间 间 隔 。 
当 该 时 间 段 过 去 后 ,用 户 账户 就 不 再 处 于 锁 
定 状态 ,用 户 可 以 再 次 登录 。 如 果 启 用 了 该 
选项 ,并 设置 保留 时 间 区 域 为 空 ,那么 账户 
图 7-12 复位 账户 锁定 计数 器 就 会 保留 为 锁定 状态 ,直到 管理 员 对 它 解锁 
(如 图 7-13 所 示 ) 。 


复位 账户 锌 定 计数 器 尾 性 


3. 账户 锁定 阔 值 

该 数值 用 于 定义 用 户 不 成 功 登录 允许 的 次 数 , 之 后 账户 就 会 被 锁定 。 如 果 定 义 了 账 
户 ,一 定 要 指定 允许 尝试 的 次 数 , 和 否则 该 账户 永远 不 会 被 锁定 。 设 定 了 账户 的 锁定 阔 值 
后 ,复位 账户 锁定 计数 器 和 账户 锁定 时 间 才 有 效 ( 如 图 7-14 所 示 ) 。 
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图 7-13 账户 锁定 时 间 图 7-14 账户 锁定 阔 值 


7.2 本 地 策略 


7.2.1 审核 策略 


在 如 图 7-15 所 示 的 窗口 中 选择 “本 地 策略 "下 的 “审核 策略 ”项 ,其 中 包含 审核 策略 更 
改 、 审 核 登 录 事 件 、 审 核对 象 访问 等 多 个 审核 策略 。 当 对 应 的 事件 发 生 时 ,系统 将 根据 设 
置 对 相应 的 事件 进行 记录 。 


=/9lx 
文件 四 换 作 他， 查看 中 天助 0 
Eee 


晶 IT 安全 第 咯 ， 在 本 地 计算 机 


图 7-15 “审核 策略 ?选项 


要 设置 一 个 策略 ,在 对 应 的 事件 上 单 击 鼠 标 右键 , 即 可 对 策略 进行 设置 。 比 如 当 管 理 
员 对 策略 进行 更 改 时 ,要 让 系统 记忆 这 些 操 作 ,可 以 在 “审核 策略 更 改 属 性 ?对 话 框 中 设置 
审核 这 些 策略 ,选中 “成 功 ” 或 “失败 ” 复 选 框 即 可 (如 图 7-16 所 示 ) 。 

要 审核 登录 事件 . 则 需要 设置 “审核 登录 事件 "策略 ,如 图 7-17 所 示 。 当 该 设置 生效 
时 ,无 论 用 户 成 功 登 录 系 统 还 是 登录 失败 ,都 将 被 系统 记录 。 这 些 事件 可 以 通过 事件 查看 
器 进行 查看 ,如 图 7-18 所 示 。 

其 他 审核 策略 的 设置 方法 与 前 面 介绍 的 设置 方法 类 似 ,读者 可 自行 设置 并 查看 审核 
的 结果 ,这 里 不 再 介绍 。 
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图 7-18 “事件 查看 器 属性 ”窗口 


7.2.2 用 户 权限 分 配 


1. 用 户 权 限 分 配 内 容 的 设置 

在 用 户 权 限 分 配 中 ,可 以 基于 用 户 或 组 
来 设 定 用 户 所 具备 的 权限 。 比 如 要 指定 哪些 
用 户 可 以 从 远程 系统 强制 关机 ,可 以 双击 打 
开 “ 从 远程 系统 强制 关机 属性 "对话 框 。 默 认 
只 有 属于 Administrators 组 的 用 户 才 具备 该 
权限 (如 图 7-19 所 示 )。 如 果 要 添加 其 他 用 
户 或 组 ,可 以 通过 单 击 * 添 加 用 户 或 组 按钮 
添加 其 他 用 户 或 组 ,如 图 7-20 所 示 。 


2. 常见 权限 分 配 的 设 定 及 安全 选项 

通过 设置 安全 选项 ,可 以 提高 每 个 用 户 的 
安全 性 。 所 有 安全 选项 的 设置 方法 相似 ,双击 
每 一 个 安全 选项 ,打开 该 安全 选项 属性 对 话 框 ， 


7-19 “从 远程 系统 强制 关机 属性 ”窗口 
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图 7-20 添加 其 他 用 户 或 组 
如 果 需 要 启用 该 安全 选项 , 则 选中 “已 启用 ” 单 选 按钮 ,否则 选中 “已 禁用 " 单 选 按钮 ,如 
图 7-21 所 示 。 


文件 中 ”操作 查看 天助 只 
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当 登 录 时 间 用 完 时 自动 注销 用 户 
数字 答 各 的 通信 车 客 户 册 同 意 ) 
数字 签名 的 通信 (总 是 ) 
在 挂 起 会 话 之 前 所 需 的 空闲 时 间 
发 演示 加密 的 和 码 到 第 三 方 SIB 服 
人 数字 答 名 的 通信 车 服 务 器 同意 ) 
日 和 公 角 第 略 : 数字 签名 的 通信 总 是) 
回 加 密 文 件 系统 故障 恢复 控制 台 : 允许 对 所 有 豫 动 器 和 文件 夹 进 行 软盘 复制 
和 软件 限制 第 四 前 隧 恢复 控制 台 ， 交 评 自动 系统 管理 级 录 
晶 匡 安全 策略 ,在 本 地 计算 机 加 关机。 清除 虚拟 内 存 页 面 文件 


不 需要 按 CTRL+ALT+DEL 

可 被 缓 存 的 前 次 登录 个 数 在 域 控制 器 不 可 用 的 
要 求 域 控制 器 身份 验证 以 解 饥 工作 站 

要 求 智能 卡 

用 户 试图 登录 时 消息 标题 

用 户 试图 登录 时 消息 文字 

在 密码 到 其 前 提示 用 户 更 改 密码 


图 7-21 设置 安全 选项 


比如 用 户 登录 系统 时 ,通常 上 次 登录 的 用 户 名 会 被 记录 下 来 ,用 户 不 需要 输入 用 户 
名 ,只 需要 输入 正确 的 密码 即 可 登录 ,该 种 模式 将 为 系统 安全 带 来 极 大 风险 。 如 果 非 法 用 


户 启动 了 机 器 , 则 会 发 现 该 系统 的 合法 用 户 名 ;如 果 密 码 被 破解 , 则 可 以 攻击 该 系统 。 
为 了 提高 系统 的 安全 性 ,可 设 定 不 保留 上 次 站 
用 户 登 录 的 用 户 名 ,要 求 用 户 每 次 登录 时 输 ” #8 轩 | 
和 人 用户 名 。 要 实现 这 种 安全 控制 ,可 以 通过 一 TE RS 
安全 选项 中 的 “不 显示 上 次 的 用 户 名 ”安全 2 
策略 来 实现 。 CE 用 

双击 打开 该 安全 策略 的 属性 对 话 框 , 选 
中 “已 启用 ” 单 选 按钮 ,使 该 安全 策略 有 效 即 
可 。 这 样 , 用 户 下 次 登录 系统 时 ,需要 输入 
登录 的 用 户 名 ,避免 了 用 户 名 被 没有 授权 的 图 7-22 设置 在 交互 式 登录 中 不 显示 
用 户 获 得 ,降低 了 系统 存在 的 风险 (如 上 次 的 用 户 名 
图 7-22 所 示 )。 


7.3 Windows Server 2003 中 几 个 常规 网 络 服务 的 
安全 管理 


7.3.1 Web 服务 器 的 安全 问题 

随 着 网 络 使 用 范围 的 扩大 ,通过 网 络 获得 信息 已 成 为 人 们 的 一 个 主要 渠道 ,包括 政 
府 、 高 校 , 企 事业 单 位 等 各 行 各 业 都 建立 了 相应 的 Web 服务 器 .FTP 服务 器 、BBS 服务 
器 .邮件 服务 器 。 在 把 信息 提供 给 用 户 广 泛 浏览 的 同时 ,同样 也 存在 安全 问题 和 控制 问 
题 。 比 如 对 于 一 个 企业 内 部 的 Web 服务 器 ,可 能 只 提供 给 内 部 用 户 访问 ,而 外 部 用 户 是 
不 可 以 访问 的 。 所 以 ,在 建立 一 个 服务 器 的 同时 ,还 存在 如 何 把 服务 提供 给 相应 的 访问 
者 ,并 保证 访问 者 合法 访问 的 问题 。 

下 面 介绍 在 建立 一 个 Web 服务 器 时 涉及 的 相关 安全 设置 问题 。 要 限制 一 个 网 站 的 
访问 ,通常 可 以 采用 以 下 几 种 方法 。 

1. 用 户 身份 验证 

通常 一 个 公开 的 Web 站 点 允许 所 有 Internet 用 户 访 问 ,而 有 些 Web 站 点 则 仅 允 许 
某 些 用 户 访 问 。 此 时 ,可 以 通过 下 面 的 方式 来 进行 授权 。 

打开 要 进行 用 户 身份 验证 设置 的 Web 站 点 的 属性 对 话 框 ,切换 到 “目录 安全 性 ”选项 
卡 ( 见 图 7-23 所 示 ), 单 击 “ 编 辑 ” 按 钮 .打开 “身份 验证 方法 ”对 话 框 (如 图 7-24 所 示 )。 

在 图 7-24 中 可 以 看 出 ,一 个 Web 站 点 默认 允许 用 户 匿名 访问 。 当 网 站 设置 为 “启用 
匿名 访问 ”时 ,任何 一 个 用 户 都 可 登录 到 该 Web 站 点 ,并 具备 IUSR_GZHMT 这 个 
Windows 用 户 的 权限 。 如 果 当 前 的 Web 站 点 仅 提供 给 某 些 用 户 访问 , 则 应 该 取消 选中 
“启用 匿名 访问 " 复 选 框 ,并 在 “用 户 访 问 需 经 过 身份 验证 ”选项 区 域 中 设置 身份 验证 的 方 
法 。 如 图 7-25 所 示 ,对 当前 站 点 设置 “集成 Windows 身份 验证 ”, 这 样 匿名 用 户 将 不 可 以 
访问 该 网 站 ,只 有 持 有 Windows 账号 的 用 户 才 可 以 访问 该 站 点 。 


2. IP 地 址 和 域名 限制 
使 用 IP 地 址 或 Internet 域名 授权 可 控制 用 户 对 资源 的 访问 。 
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图 7-24 设置 身份 验证 方法 图 7-25 设置 集成 Windows 身份 验证 


在 网 站 属性 对 话 框 中 ,切换 到 “目录 安全 性 ”选项 卡 , 并 单 击 “IP 地 址 和 域名 限制 ? 选 
项 区 域 中 的 “编辑 ”按钮 ,可 打开 “IP 地 址 和 域名 限制 "对 话 框 (如 图 7-26 所 示 )。 对 IP 地 
址 访问 限制 有 两 种 方法 。 如 果 大 部 分 用 户 都 不 可 以 访问 ,而 仅 某 些 用 户 可 以 访问 , 则 可 以 
选中 “拒绝 访问 " 单 选 按钮 ,然后 在 下 面 的 列表 框 中 添加 允许 访问 的 用 户 。 单 击 “ 添 加 ” 按 
钮 ,打开 设置 授权 访问 用 户 的 对 话 框 ,可 以 通过 单个 IP、IP 地 址 段 或 主机 域名 3 种 方式 来 
进行 定义 ,非常 灵活 方便 。 如 图 7-27 所 示 ,设置 当前 的 站 点 仅 允 许 当 前 的 一 段 IP 地 址 的 
主机 访问 。 如 果 大 部 分 用 户 都 可 以 访问 ,而 仅 个 别 用 户 不 能 访问 , 则 可 以 首先 授权 访问 ， 
然后 再 设置 拒绝 访问 的 主机 IP 地 址 或 域名 。 


Ee 
JT 地 址 访问 限制 
哑 认 情况 下 ， 所 有 计算 机 都 格 读 :。 < 授权 访问 四) 
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图 7-26 “IP 地 址 和 域名 限制 "对话 框 


图 7-27 授权 一 组 计算 机 


3. 访问 控制 

当 一 个 用 户 访 问 Web 服务 器 时 ,可 以 设置 不 同 的 用 户 对 当前 目录 的 读 写 权 限 。 比 如 
可 以 设 定 某 些 用 户 具 备 写 和 人 的 权限 ,而 某 些 用 户 gg re 到 
仅 具 备 浏览 的 权限 。 要 进行 访问 控制 ,可 以 在 文 ” 宕 |##” 全 |r #8 这 | 十 六 | 
件 夹 的 属性 对 话 框 中 设置 。 人 

假设 当前 Web 站 点 的 主 目录 为 wwwroot， 
现在 要 设 定 lancy 对 该 目录 具备 所 有 权限 , 即 当 
前 用 户 可 以 读 和 写 当前 目录 , 则 切换 到 wwwroot 
文件 夹 属性 对 话 框 的 “安全 "选项 卡 ,可 以 添加 
lancy 用 户 的 权限 。 如 图 7-28 所 示 。 


4. 审核 与 加 密 

用 户 以 Web 方式 访问 站 点 时 ,存在 一 定 的 风 
险 。 为 了 提高 该 模式 的 安全 性 ,可 设置 通过 安全 
通信 的 方式 来 进行 访问 。 要 启用 安全 通信 的 访 
问 方式 ,在 如 图 7-29 所 示 的 对 话 框 中 , 单 击 * 服 务 
器 证 书 ? 按 钮 ,打开 如 图 7-30 所 示 的 对 话 框 ,启用 
安全 通道 。 
7.3.2 FTP 服务 器 的 安全 问题 

Windows Server 2003 系统 的 IIS 6.0 提供 了 FTP 服务 功能 ,由 于 它 简 单 易 用 ,并 与 
Windows 系统 本 身 结 合 紧密 , 深 受 广大 用 户 的 喜爱 。 在 实际 应 用 中 ,FTP 的 默认 设置 其 
实 存在 很 多 安全 隐患 ,很 容易 成 为 黑客 们 的 攻击 目标 。 通 常 可 以 通过 以 下 几 个 方面 来 加 
强 FTP 服务 器 的 安全 。 

1. 取消 匿名 访问 功能 

默认 情况 下 ,Windows Server 2003 系统 的 FTP 服务 器 允许 匿名 访问 ,虽然 匿名 访问 
为 用 户 上 传 、 下 载 文 件 提供 了 方便 .但 却 存 在 极 大 的 安全 隐患 。 用 户 不 需要 申请 合法 的 账 
号 ,就 能 访问 FTP 服务 器 ,其 至 还 可 以 上 传 .下载 文 件 ,特别 对 于 一 些 存 储 重 要 资料 的 
FTP 服务 器 ,很 容易 出 现汇 密 的 情况 ,因此 建议 用 户 取消 匿名 访问 功能 。 
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图 7-28 设置 用 户 lancy 对 当前 目录 
具备 的 权限 
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图 7-29 设置 站 点 的 安全 通信 图 7-30 启用 安全 通道 


在 Windows Server 2003 系统 中 , 单 击 “开始 ”一 “程序 ”一 “管理 工具 ”一 “Internet 服 
务 管理 器 ”命令 ,打开 管理 控制 台 窗口 ,然后 展开 左 窗 格 中 的 “本 地 计算 机 ”目录 项 ,就 能 看 
到 IIS 6.0 自 带 的 FTP 服务器。 下 面 以 默认 FTP 站 点 为 例 ,介绍 如 何 取消 匿名 访问 
功能 。 

右 击 “ 默 认 FTP 站 点 ”, 在 快捷 菜单 中 选择 “属性 ”选项 ,打开 “默认 FTP 站 点 属性 ?对 
话 框 ,切换 到 “安全 账户 ”选项 卡 , 取 消 选 中 “允许 匿名 连接 ” 复 选 框 ( 如 图 7-31 所 示 ), 最 后 
单 击 “ 确 定 ” 按 钮 ,这 样 用 户 就 不 能 使 用 匿名 账号 访问 FTP 服务 器 ,必须 拥有 合法 账号 。 


图 7-31 禁止 匿名 访问 


2. 启用 日 志 记录 
Windows 日 志 记录 了 系统 运行 的 一 切 信息 ,但 很 多 管理 员 对 日 志 记录 功能 不 够 重 


视 , 为 了 节省 服务 器 资源 ,禁用 FTP 服务 器 日 志 记 录 功 能 ,这 是 万 万 要 不 得 的 。FTP 服 
务 器 日 志 记录 着 所 有 用 户 的 访问 信息 ,如 访问 时 间 、 客 户 机 IP 地 址 、 使 用 的 登录 账号 等 ， 
这 些 信息 对 于 FTP 服务 器 的 稳定 运行 具有 很 重要 的 意义 。 一 旦 服务 器 出 现 问题 ,就 可 以 
查看 FTP 日 志 , 找 到 故障 所 在 ,及 时 排除 ,因此 一 定 要 启用 FTP 日 志 记 录 。 

在 “默认 FTP 站 点 属性 ”对 话 框 中 ,切换 到 “FTP 站 点 ?选项 卡 ,确保 选中 “启用 日 志 
记录 ” 复 选 框 ,这 样 就 可 以 在 事件 查看 器 中 查看 FTP 日 志 记 录 。 

3. 正确 设置 用 户 访问 权限 

每 个 FTP 用 户 账号 都 具有 一 定 的 访问 权限 ,但 对 用 户 权限 的 不 合理 设置 ,也 能 导致 
FTP 服务 器 出 现 安全 隐患 。 如 服务 器 中 的 CCE 文件 夹 ,只 允许 CCEUSER 账号 对 它 有 
读 、 写 ,修改 、 列 表 的 权限 ,禁止 其 他 用 户 访 问 ,但 系统 默认 设置 允许 其 他 用 户 对 CCE 文件 
夹 有 读 和 列表 的 权限 ,因此 必须 重新 设置 该 文件 夹 的 用 户 访问 权限 。 

右 击 CCE 文件 夹 ,在 快捷 菜单 中 选择 “属性 ?选项 ,然后 切换 到 “安全 ?选项 卡 ,首先 删 
除 Everyone 用 户 账 号 ,再 单 击 “ 添 加 ”按钮 ,将 CCEUSER 账号 添加 到 “名 称 ” 列 表 中 , 然 
后 在 “权限 ”列表 框 中 选中 “修改 ”“ 读 取 及 运行 "“ 列 出 文件 夹 目 录 ”“ 读 取 和 写 入 ”选项 ， 
最 后 单 击 “ 确 定 ” 按 钮 。 这 样 ,CCE 文件 夹具 有 CCEUSER 用 户 才 能 访问 。 

4. 启用 磁盘 配额 管理 

FTP 服务 器 的 磁盘 空间 资源 很 宝贵 ,无 限制 地 让 用 户 使 用 ,势必 造成 巨大 的 浪费 , 因 
此 要 对 每 位 FTP 用 户 使 用 的 磁盘 空间 进行 限制 。 下 面 以 CCEUSER 用 户 为 例 ,将 其 限 
制 为 只 能 使 用 100MB 磁盘 空间 。 


了 到 
在 资源 管理 器 窗口 中 , 右 击 CCE 文件 夹 害 和 | 工具 1 1 # 划 | 全 | 
所 在 的 硬盘 盘 符 ,在 弹出 的 快捷 菜单 中 选择 人 一 一 


“属性 ”选项 ,然后 切换 到 “配额 "选项 卡 ( 如 
图 7-32 所 示 ) ,选中 “启用 配额 管理 " 复 选 框 ， 
激活 “配额 * 选 项 卡 中 的 所 有 配额 设置 选项 。 
为 了 不 让 某 些 FTP 用 户 占 用 过 多 的 服务 器 
磁盘 空间 ,必须 选中 “拒绝 将 磁盘 空间 给 超过 
配额 限制 的 用 户 ” 复 选 框 。 

在 “为 该 卷 上 的 新 用 户 选 择 默 认 配 额 限 
制 ” 下 选中 “将 磁盘 空间 限制 为 " 单 选 按 钮 , 接 
着 在 右 侧 的 数值 框 中 输入 100, 磁 盘 容量 单 
位 选择 MB; 然后 进行 警告 等 级 设置 ,在 “将 
警告 等 级 设置 为 "数值 框 中 输入 96 ,容量 
位 也 选择 MB, 这 样 就 完成 了 默认 配额 设置 。 图 7-32 限制 FTP 存储 空间 
此 外 ,还 要 选中 “用 户 超出 配额 限制 时 记录 事 
件 ” 和 “用 户 超过 警告 等 级 时 记录 事件 ” 复 选 框 ,以 便 将 配额 警告 事件 记录 到 Windows 日 
志 中 。 

单 击 “ 配 额 ” 选 项 卡 下 面 的 “配额 项 ”按钮 ,打开 “磁盘 配额 项 目 ” 对 话 框 ;然后 单 击 “ 配 
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额 " 下 的 “新 建 配 额 项 ”按钮 ,打开 选择 用 户 对 话 框 ;选中 CCEUSER 用 户 后 , 单 击 “ 确 定 ” 
按钮 ;接着 在 “添加 新 配额 项 ”对 话 框 中 为 CCEUSER 用 户 设 置 配额 参数 ,选中 “将 磁盘 空 
间 限 制 为 ” 单 选 按钮 ,在 右 侧 的 数值 框 中 输入 100, 接 着 在 “将 警告 等 级 设置 为 "数值 框 中 
输入 96, 它 们 的 磁盘 容量 单位 为 MB; 最 后 单 击 “ 确 定 ” 按 钮 ,完成 磁盘 配额 设置 。 这 样 
CCEUSER 用 户 就 只 能 使 用 100MB 磁盘 空间 ,超过 96MB 就 会 发 出 警告 。 

5. TCP/IP 访问 限制 

为 了 保证 FTP 服务 器 的 安全 ,还 可 以 拒绝 某 些 IP 地 址 的 访问 。 在 “默认 FTP 站 点 
属性 ”对 话 框 中 ,切换 到 “目录 安全 性 ”选项 卡 ,选中 “授权 访问 ” 单 选 按钮 (如 图 7-33 所 
示 ) ;然后 在 “下面 列 出 的 除外 ”列表 框 中 单 击 * 添 加 ”按钮 ,打开 “拒绝 以 下 访问 ”对 话 框 ,可 
以 拒绝 单个 IP 地 址 或 一 组 IP 地 址 访问 。 以 单个 IP 地 址 为 例 ,选中 “单机 ” 单 选 按钮 , 然 
后 在 “IP 地 址 ”文本 框 中 输入 该 机 器 的 IP 地 址 ,最 后 单 击 “ 确 定 ” 按 钮 。 这 样 添加 到 列表 
框 中 的 IP 地 址 都 不 能 访问 FTP 服务 器 。 

可 
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图 7-33 记录 用 户 登录 信息 


6. 增强 账号 密码 的 复杂 性 

一 些 FTP 账号 的 密码 设置 得 过 于 简单 ,有 可 能 被 不 法 之 徒 破解 。 为 了 提高 FTP 服 
务 器 的 安全 性 ,必须 强制 用 户 设置 复杂 的 账号 密码 。 

在 “本 地 安全 设置 "窗口 中 ,依次 展开 “安全 设置 "下 的 “账户 策略 ”目录 项 ,选择 “密码 
策略 ”项 ,在 右 侧 的 窗 格 中 找到 “密码 必须 符合 复杂 性 要 求 ”选项 ,双击 打开 其 属性 对 话 框 
后 ,选中 “已 启用 ” 单 选 按 钮 ,最 后 单 击 “ 确 定 ” 按 钮 。 

然后 双击 “密码 长 度 最 小 值 ”选项 ,为 FTP 账号 密码 设置 最 短 字 符 限 制 。 这 样 ,密码 
的 安全 性 就 大 大 增强 。 

7. 账号 登录 限制 

有 些 非 法 用 户 使 用 黑客 工具 反复 登录 FTP 服务 器 ,以 猜测 账号 密码 ,这 是 非常 危险 


的 ,因此 建议 用 户 对 账号 登录 次 数 进行 限制 。 

依次 展开 “安全 设置 "下 的 “账户 策略 "目录 项 ,选择 “账户 锁定 策略 ”项 ,在 右 侧 的 列表 
框 中 找到 “账户 锁定 阔 值 ”选项 ,双击 打开 其 属性 对 话 框 后 ,设置 账号 登录 的 最 大 次 数 , 如 
果 超 过 此 数值 ,账号 会 被 自动 锁定 。 接 着 双击 “账户 锁定 时 间 ” 选 项 ,设置 FTP 账号 被 锁 
定 的 时 间 , 账 号 一 旦 被 锁定 ,超过 该 时 间 值 ,才能 重新 使 用 。 

通过 以 上 的 设置 ,可 大 大 提高 FTP 服务 器 的 安全 ,减少 非法 入 侵 的 发 生 。 
7.3.3 邮件 服务 器 的 安全 问题 

邮件 服务 器 为 人 们 之 间 的 交流 提供 了 一 种 更 为 便捷 的 方式 ,常见 的 邮件 服务 器 有 
Exchange, Qmail, Postfix, Sendmail, Mdaemon,Domino,Foxmail,CMailServer 等 。 通 过 
邮件 传递 文件 以 交流 信息 在 人 们 的 日 常 工 作 和 生活 中 越 来 越 重要 ,而 邮件 服务 器 的 安全 
问题 也 越 来 越 被 重视 。 

目前 互联 网 上 的 邮件 服务 器 所 受 的 攻击 有 两 类 。 一 类 就 是 中 继 利用 (Relay) , 即 远程 
机 器 通过 服务 器 来 发 送 邮 件 , 这 样 任 何人 都 可 以 利用 服务 器 向 任何 地 址 发 送 邮件 , 久 而 久 
之 ,这 台 机 器 不 仅 成 为 发 送 垃圾 邮件 的 帮凶 ,也 会 使 网 络 流量 激增 ,同时 可 能 被 网 上 的 很 
多 邮件 服务 器 所 拒绝 。 另 一 类 攻击 称 为 垃圾 邮件 (Spam), 即 人 们 常 说 的 邮件 炸弹 ,是 指 
在 很 短 的 时 间 内 服务 器 可 能 接收 大 量 无 用 的 邮件 ,从 而 使 邮件 服务 器 不 堪 负 载 而 出 现 瘫 
痪 。 这 两 种 攻击 都 可 能 使 邮件 服务 器 无 法 正常 工作 。 所 以 保证 邮件 服务 器 的 安全 和 性 能 
稳定 是 网 络 管理 中 的 一 个 重要 任务 。 


1. 垃圾 邮件 的 威胁 

根据 来 自 国际 计算 机 安全 协会 (简称 ICSA) 的 统计 ,在 所 有 的 邮件 中 ,超过 50% 是 垃 
圾 邮件 ,也 就 是 说 每 天 全 球 有 超过 150 亿 封 垃圾 邮件 被 发 送出 去 ,使 各 类 企业 每 年 遭受 到 
200 亿美 元 以 上 由 于 劳动 生产 率 下 降 及 技术 支出 带 来 的 损失 。 根 据 国际 市 场 调 查 机 构 
Radicati Group 统计 ,到 2007 年 垃圾 邮件 数量 将 上 升 到 惊人 的 2 万 亿 封 /年 ,垃圾 邮件 的 
成 本 将 高 达 500 亿美 元 。 

当前 中 国 反 垃圾 邮件 的 现状 不 容 乐 观 。 据 著名 垃圾 邮件 对 比 资料 库 SBLdatabase 统 
计 , 在 全 球 10 大 垃圾 邮件 最 严重 的 国家 和 地 区 中 ,亚洲 占 了 绝 大 部 分 ,而 中 国 更 是 仅 次 于 
美国 高 居 第 二 。 

由 于 垃圾 邮件 带 来 的 对 网 络 的 危害 有 以 下 几 方 面 ， 

@ 侵占 网 络 和 系统 资源 。 据 统计 ,目前 垃圾 邮件 平均 占用 了 邮件 服务 器 60% 的 存 
储 空 间 和 系统 资源 ,由 于 垃圾 邮件 传输 而 产生 的 额外 网 络 带 宽 占 网 络 总 带宽 的 11% 
以 上 。 

@ 对 网 络 和 系统 安全 产生 了 极 大 的 危害 。 利 用 电子 邮件 系统 进行 的 各 种 网 络 攻击 
和 计算 机 病毒 传播 越 来 越 频繁 ,所 造成 的 危害 和 损失 也 越 来 越 大 。 

@ 对 社会 的 稳定 和 个 人 生活 将 产生 不 良 影响 和 危害。 国内 外 反动 势力 发 送 的 大 量 
具有 反动 思想 的 煽动 性 电子 邮件 ,赌博 和 贩 黄 集团 通过 电子 邮件 系统 所 进行 的 非法 交易 
等 ,所 有 这 些 都 将 对 社会 和 个 人 产生 极 大 的 影响 和 破坏 作用 。 

@ 使 企业 用 户 直接 遭受 巨大 的 经 济 损失 。 大 量 的 垃圾 邮件 使 得 用 户 要 花费 大 量 的 
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时 间 和 精力 来 进行 识别 和 处 理 , 这 极 大 地 降低 了 企业 的 生产 效率 。 此 外 ,由 于 企业 雇员 遭 
受 垃圾 邮件 的 侵害 而 导致 企业 保密 信息 泄露 ,并 且 可 能 进一步 破坏 企业 的 生产 和 管理 系 
统 。 与 此 相关 ,由 于 企业 已 有 的 反 垃 圾 邮件 解决 方案 可 能 存在 的 不 足 和 漏洞 ,而 导致 企业 
的 电子 邮件 系统 受到 影响 和 企业 的 正常 电子 邮件 丢失 ,这 些 都 会 使 企业 蒙受 巨大 的 经 济 

2. 常见 的 反 垃 圾 邮件 措施 

(1) 在 客户 端 软件 方面 采取 控制 措施 

@O 邮件 客户 端 软 件 Foxmail, Outlook 等 , 反 垃 圾 邮件 工作 在 客户 端 ,对 邮件 服务 器 
不 进行 保护 ,检测 技术 简单 ,检测 效果 十 分 不 理想 。 

@ 专业 的 客户 端 软件 ,如 Cloudmark 公司 的 专业 桌面 反 垃 圾 邮件 系统 ,具有 高 效率 
的 反 垃圾 邮件 能 力 ,但 不 对 邮件 服务 器 进行 保护 。 

(2) 邮件 系统 或 杀 病 毒 软件 所 提供 的 反 垃 圾 邮件 模块 

在 邮件 与 杀毒 系统 上 有 反 垃 圾 邮件 模块 ,与 邮件 和 杀毒 系统 运行 在 同一 平台 上 ,占用 
服务 器 资源 , 非 专 业 反 垃圾 邮件 产品 ,检测 效果 不 理想 。 

(3) 反 垃 圾 邮件 网 关 

Q@ 硬件 产品 : 这 类 产品 属于 专业 反 垃圾 邮件 硬件 产品 。 具 备 如 下 特点 : 

。 独立 的 个 体 ,不 占用 系统 资源 。 

。 反 垃圾 邮件 技术 具有 极 强 的 针对 性 。 

。 检测 效果 理想 。 

。 安装 简单 ,无 适应 性 问题 。 

@ 软件 产品 : 这 类 产品 属于 专业 反 垃 圾 邮件 软件 产品 。 具 备 如 下 特点 : 

。 安装 可 能 比较 复杂 。 

。 要 准备 一 台 符 合 标准 的 硬件 。 

。 检测 效果 决定 于 所 使 用 的 服务 器 的 性 能 。 

。 性 能 价格 比 最 好 。 

(4) 专业 反 垃 圾 邮件 服务 

专业 第 三 方 反 垃圾 邮件 服务 具备 如 下 特点 : 

@ 不 需要 管理 反 垃 圾 邮件 系统 ,不 占用 邮件 系统 资源 。 

@ 反 垃 圾 邮件 技术 具有 极 强 的 针对 性 。 

@ 适用 于 中 小 规模 的 邮件 应 用 环境 。 

常用 的 反 垃 圾 邮件 硬件 设备 有 青 莲 、 美 讯 智 、 
梭 子 鱼 (如 图 7-34 所 示 是 梭 子 鱼 的 一 款 设备 ) 等 。 A WM) 

梭 子 鱼 采 用 如 图 7-35 所 示 的 多 达 10 层 的 过 
滤 机 制 , 辩 识 率 高 达 98% ,一 封 邮件 经 过 10 层 过 
滤 , 将 确保 到 达 邮 件 服务 器 的 是 一 封 正 常 的 用 户 
所 需要 的 邮件 。 图 7-34 ” 梭 子 鱼 反 垃圾 邮件 过 滤 网 关 
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7.4 IP 安全 策略 


网 络 的 安全 性 已 经 成 为 人 们 关注 的 焦点 ,由 于 在 IP 协议 设计 之 初 并 没有 过 多 地 考虑 
安全 问题 ,因此 早期 的 网 络 中 经 常 发 生 遭 受 攻击 或 机 密 数据 被 窃取 等 问题 。 为 了 增强 网 
络 的 安全 性 ,IP 安全 (IPSec) 协 议 应 运 而 生 。Windows 2000/XP/2003 操作 系统 也 提供 了 
对 IPSec 协议 的 支持 ,这 就 是 IPSec 安全 策略 功能 ,虽然 它 提 供 的 功能 不 是 很 完善 ,但 只 
要 合理 定制 ,一 样 能 很 有 效 地 增强 网 络 的 安全 。 


1. 启用 本 地 IPSec 安全 策略 

在 Windows Server 2003 系统 中 ,启用 IPSec 安全 策略 功能 的 方法 有 下 面 的 两 种 。 

(1) 利用 MMC 控制 台 

名 单 击 “开始 ”一 运行 ”命令 ,在 “运行 ?对话 框 中 输入 MMC, 单 击 “ 确 定 ” 按 钮 后 , 启 
动 “控制 台 ” 窗 口 。 

@ 单 击 “ 控 制 台 ”窗口 中 的 “文件 ”一 “添加 /删除 管理 单元 "命令 ,打开 “添加 /删除 管 
理 单元 "对话 框 (如 图 7-36 所 示 ), 单 击 “ 独 立 ”" 选 项 卡 中 的 “添加 ”按钮 ,打开 “添加 独立 管 
理 单元 ”对 话 框 。 

@ 在 列表 框 中 选择 “IP 安全 策略 管理 "(如 图 7-37 所 示 ), 单 击 “ 添 加 ”按钮 ,在 “选择 
计算 机 ”对 话 框 中 ,选择 “本 地 计算 机 ”, 最 后 单 击 “ 完 成 ”按钮 ,在 MMC 控制 台中 启用 
IPSec 安全 策略 。 
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图 7-36 添加 独立 控制 单元 图 7-37 选择 “IP 安全 策略 管理 ” 


(2) 利用 本 地 安全 策略 
双击 “控制 面板 ”窗口 中 的 “管理 工具 ”图 标 ,双击 “本 地 安全 策略 ”选项 ,在 “本 地 安全 
设置 ”窗口 中 展开 “安全 设置 "目录 项 ,可 以 找到 “IP 安全 策略 ,在 本 地 计算 机 ”。 


2. IPSec 安全 策略 的 组 成 

为 了 增强 网 络 通信 的 安全 或 对 客户 机 的 管理 ,网 络 管理 员 可 以 通过 在 Windows 系统 
中 定义 IPSec 安全 策略 来 实现 。 一 个 IPSec 安全 策略 由 IP 筛选 器 和 筛选 器 操作 两 部 分 
构成 ,其 中 IP 筛选 器 决定 哪些 报 文 应 引起 IPSec 安全 策略 的 关注 ,筛选 器 操作 是 指 允 许 
还 是 拒绝 报 文 的 通过 。 要 新 建 一 个 IPSec 安全 策略 ,一 般 需 要 新 建 IP 筛选 器 和 筛选 器 
操作 。 

3. IPSec 安全 策略 应 用 实例 

此 实例 的 目的 是 阻止 局 域 网 中 IP 为 192. 168. 0. 2 的 机 器 访问 Windows Server 2003 
终端 服务 器 。 

很 多 服务 器 都 开通 了 终端 服务 .除了 使 用 用 户 权 限 控制 访问 外 ,还 可 以 创建 IPSec 安 
全 策略 进行 限制 。 步 骤 如 下 : 

@ 在 Windows Server 2003 服务 器 的 IP 安全 策略 主 窗口 中 , 右 击 “IP 安全 策略 ,在 
本 地 计算 机 ”, 在 快捷 菜单 中 选择 “创建 IP 安全 策略 ”选项 ,打开 “IP 安全 策略 向 导 ” 对 话 
框 ; 单 击 “ 下 一 步 ? 按 钮 ,在 IP 安全 策略 名 称 对 话 框 中 输入 该 策略 的 名 字 ( 如 图 7-38 所 
示 ) ,如 “终端 服务 过 滤 ”; 单 击 “ 下 一 步 ” 按 钮 ,在 弹出 的 对 话 框 中 均 保持 默认 值 ,最 后 单 击 


IP 安全 策略 向 导 | 

了 ? 安全 策略 名 称 司 
命名 这 个 IP 安全 策略 并 且 给 出 一 个 简短 的 描述 昌 
beh 

名 称 如 : 

和 
描述 由): 
到 


《上 一 步 四 [下 =- 步 中 让 | 


图 7-38 指定 策略 名 称 


@ 为 该 策略 创建 一 个 筛选 器 。 右 击 *IP 安全 策略 ,在 本 地 计算 机 ”, 在 快捷 菜单 中 选 
择 “ 管 理 IP 筛选 器 表 和 筛选 器 操作 ?选项 ,在 打开 的 对 话 框 中 切换 到 “管理 IP 筛选 器 列 
表 ” 选 项 卡 ( 如 图 7-39 所 示 ) ; 单 击 下 方 的 “添加 ”按钮 ,弹出 “IP 筛选 器 列表 ”对 话 框 , 在 “名 
称 ” 文 本 框 中 输入 “终端 服务 ”; 单 击 “ 添 加 ”按钮 ,打开 “筛选 嚣 向导” 对话 框 ; 单 击 “ 下 一 步 ” 
按钮 ,在 “ 源 地 址 ”下 拉 列 表 中 选择 “一 个 特定 IP 地 址 ”, 然 后 输入 该 客户 机 的 IP 地 址 和 子 
网 掩 码 , 如 192. 168. 0.2。 单 击 “ 下 一 步 ? 按 钮 后 ,在 “目标 地 址 ?下 拉 列 表 框 中 选择 “我 的 
IP 地 址 ”; 单 击 “ 下 一 步 ? 按 钮 ,接着 在 "选择 协议 类 型 下拉 列 表 框 中 选择 TCP 协议 (如 


AN 
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图 7-40 所 示 ); 单 击 “ 下 一 步 ”按钮 ,接着 在 协议 端口 对 话 框 中 选中 “从 任意 端口 ?和 “到 此 
端口 ” 单 选 按钮 ,在 文本 框 中 输入 3389; 再 单 击 * 下 一 步 按 钮 后 ,完成 筛选 器 的 创建 (如 
图 7-41 所 示 ) 。 


到 到 | 
管理 I 第 先 器 列表 | 管理 入 过 器 操作 | 
的 了 而 


EE 
En 
了 


图 7-39 创建 得 选 器 


IP 第 选 器 向 导 了 到 区 


了 
路 I as. 如 果 类 型 是 TCP 或 DP， 悠 格 同 时 指定 源 和 目标 端 图 


任意 了 


wn | 
图 7-40 选择 协议 类 型 


@ 新 建 一 个 阻止 操作 。 切 换 到 ”管理 筛选 器 操作 ?选项 卡 , 单 击 * 添 加 ?按钮 ,打开 IP 
安全 “筛选 器 操作 向 导 ” 窗 口 ; 单 击 “ 下 一 步 ” 按 钮 ,给 这 个 操作 起 一 个 名 字 , 如 “阻止 ”; 单 击 
“下 一 步 ? 按 钮 ,接着 设置 筛选 器 操作 的 行为 ,选中 “阻止 ? 单 选 按钮 (如 图 7-42 所 示 ); 单 击 
“下 一 步 ? 按 钮 , 即 可 完成 IP 安全 筛选 器 操作 的 添加 操作 。 

@ 在 IP 安全 策略 主 窗口 中 ,双击 建立 的 “终端 服务 过 滤 ” 安 全 策略 , 单 击 “ 添 加 ” 按 
钮 ,创建 IP 安全 规则 向 导 ; 单 击 “ 下 一 步 ” 按 钮 ,选择 “此 规则 不 指定 隧道 ”选项 ; 单 击 “下 一 
步 " 按 钮 ,在 网 络 类 型 对 话 框 中 选择 “局 域 网 ”选项 ; 单 击 “ 下 一 步 "按钮 ,在 打开 的 对 话 框 中 
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IP 芋 选 器 向 导 


IP 协议 菇 口 
许多 TCP/IP 应 用 程序 协议 建立 在 常用 的 TCF 或 UDP 端口 上 。 


图 7-42 设置 筛选 器 操作 的 行为 


保持 默认 值 , 单 击 * 下 一 步 ? 按 钮 ,在 IP 筛选 器 列表 中 选择 “终端 服务 ”选项 ; 单 击 “ 下 一 步 ” 
按钮 ,在 筛选 器 操作 列表 中 选择 “阻止 "选项 ,最 后 单 击 “ 完 成 "按钮 。 

创建 完成 IPSec 安全 策略 后 ,还 需要 进行 指派 。 右 击 “ 终 端 服 务 过 滤 ” 项 ,在 弹出 的 快 
捷 菜单 中 选择 “指派 ”选项 , 即 可 启用 该 IPSec 安全 策略 ,局 域 网 中 IP 为 192. 168. 0. 2 的 
机 器 就 不 能 访问 Windows Server 2003 终端 服务 器 。 

在 Windows 系统 的 IPSec 安全 策略 中 ,一 台 机 器 同时 只 能 有 一 个 策略 被 指派 ,这 是 
Windows 系统 一 个 不 足 的 地 方 。 


4. IPSec 安全 策略 验证 

在 命令 提示 符 下 使 用 gpupdate/force 命令 强行 刷新 IPSec 安全 策略 。 验 证 指派 的 
IPSec 安全 策略 很 简单 ,在 命令 提示 符 下 输入 netsh ipsec dynamic show ALL 命令 (该 命 
令 只 能 在 Windows Server 2003 系统 中 使 用 ) ,然后 返回 命令 结果 ,这 样 就 能 很 清楚 地 看 


到 该 TP 安全 策略 是 否 生效 。 
7.5 路 由 器 .交换 机 及 VLAN 对 安全 控制 的 作用 


1. 路 由 器 与 三 层 交 换 机 的 访问 控制 列表 的 安全 机 制 

在 第 5 章 中 已 经 介绍 了 访问 控制 列表 在 路 由 器 中 实现 对 路 由 器 及 网 络 安全 控制 的 功 
能 。 实 际 上 不 仅 路 由 器 的 访问 控制 列表 可 以 起 到 安全 控制 的 作用 ,凡是 支持 访问 控制 列 
表 的 任何 网 络 设备 ,比如 三 层 交 换 机 、 服 务 器 和 防火 墙 都 可 以 通过 配置 访问 控制 列表 实现 
网 络 安全 管理 。 一 般 情况 下 ,访问 控制 列表 大 多 是 设置 在 路 由 器 或 者 防火 墙 上 的 ,因为 它 
们 基本 上 处 于 网 络 总 出 口 的 位 置 ,对 数据 包 过 滤 的 作用 会 更 大 些 。 在 一 个 局 域 网 内 ,所 有 
外 出 的 用 户 和 访问 内 部 网 络 的 外 来 访问 者 都 需要 经 过 路 由 器 ;而 内 部 交换 机 又 是 内 部 主 
机 之 间 互 相通 信 的 一 个 节点 。 所 以 ,为 了 保证 网 络 稳定 、 高 效 地 运行 ,在 路 由 器 和 交换 机 
上 对 不 同 的 数据 包 进 行 控制 是 经 常 采用 的 一 种 方式 。 

要 拒绝 不 希望 的 访问 而 允许 需要 的 访问 ,可 以 配置 成 过 滤器 来 控制 数据 包 , 以 决定 该 
数据 包 是 继续 向 前 传递 到 它 的 目的 地 还 是 丢弃 。 访 问 控制 列表 增加 了 在 路 由 器 、 交 换 机 
接口 上 过 滤 数 据 包 出 入 的 灵活 性 ,可 以 帮助 管理 员 限 制 网 络 流量 ,也 可 以 控制 用 户 和 设备 
对 网 络 的 使 用 , 它 根 据 网 络 中 每 个 数据 包 所 包含 的 数据 内 容 决定 是 否 允 许 该 信息 包 通 过 
接口 。 

由 于 第 5 章 已 经 比较 详细 地 介绍 了 访问 控制 列表 ,这 里 不 再 过 多 讲述 。 

2. 交换 机 的 VLAN 配置 对 安全 的 作用 

在 第 4 章 中 提 到 VLAN 有 几 个 主要 的 特点 : 第 一 ,接口 通过 逻辑 划分 分 别 属 于 不 同 
的 广播 域 ;第 二 ,提高 了 网 络 的 安全 性 ;第 三 ,灵活 的 管理 。 可 见 ,除了 有 助 于 网 络 管理 之 
外 ,提高 网 络 安全 性 是 VLAN 的 一 个 主要 特征 ,尤其 对 于 局 域 网 更 体现 出 VLAN 对 于 安 
全 的 重要 性 。VLAN 是 一 种 实现 虚拟 工作 组 的 新 兴 数 据 交换 技术 ,一 般 TCP/IP 协议 的 
第 三 层 以 上 的 交换 机 才 具 有 此 功能 。 

交换 技术 的 发 展 ,也 加 快 了 新 的 交换 技术 (VLAN) 的 应 用 速度 。 通 过 将 企业 网 络 划 
分 为 虚拟 网 络 VLAN 网 段 ,可 以 强化 网 络 管理 和 网 络 安 全 ,控制 不 必要 的 数据 广播 。 在 
共享 网 络 中 ,一 个 物理 的 网 段 就 是 一 个 广播 域 。 而 在 交换 网 络 中 ,广播 域 可 以 是 由 一 组 任 
意 选 定 的 第 二 层 网 络 地址 (MAC 地 址 ) 组 成 的 虚拟 网 段 ,这 样 网 络 中 工作 组 的 划分 可 以 
突破 共享 网 络 中 的 地 理 位 置 的 限制 ,而 完全 根据 管理 功能 来 划分 。 这 种 基于 工作 流 的 分 
组 模式 ,大 大 提高 了 网 络 规划 和 重组 的 管理 功能 。 在 同一 个 VLAN 中 的 工作 站 ,不 论 它 
们 实际 与 哪个 交换 机 连接 ,它们 之 间 的 通信 就 好 像 在 独立 的 交换 机 上 一 样 。 同 一 个 
VLAN 中 的 广播 只 有 VLAN 中 的 成 员 才 能 听 到 ,而 不 会 传输 到 其 他 的 VLAN 中 去 ,这 
样 可 以 很 好 地 控制 不 必要 的 广播 风暴 的 产生 。 同 时 ,如 果 没 有 路 由 ,不 同 的 VLAN 之 间 
不 能 相互 通信 ,这 样 增加 了 企业 网 络 中 不 同 部 门 之 间 的 安全 性 。 网 络 管理 员 可 以 通过 配 
置 VLAN 之 间 的 路 由 ,来 全 面 管 理 企业 内 部 不 同 管理 单元 之 间 的 信息 互 访 。 交 换 机 是 根 
据 用 户 工作 站 的 MAC 地 址 来 划分 VLAN 的 ,所 以 ,用 户 可 以 自由 地 在 企业 网 络 中 移动 
办 公 , 不 论 在 何 处 接 入 交换 网 络 , 都 可 以 与 VLAN 内 其 他 的 用 户 自如 地 通信 。 
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VLAN 除了 能 将 网 络 划分 为 多 个 广播 域 ,从 而 有 效 地 控制 广播 风暴 的 发 生 , 以 及 使 
网 络 的 拓扑 结构 变 得 非常 灵活 外 .还 可 以 用 于 控制 网 络 中 不 同 部 门 不同 站 点 之 间 的 互相 
访问 。VLAN 是 为 解决 以 太 网 的 广播 问题 和 安全 性 而 提出 的 一 种 协议 , 它 在 以 太 网 帧 的 
基础 上 增加 了 VLAN 头 , 用 VLAN ID 把 用 户 划分 为 更 小 的 工作 组 ,限制 不 同 工 作 组 间 
的 用 户 互 访 ,每 个 工作 组 就 是 一 个 虚拟 局 域 网 。 虚 拟 局 域 网 的 好 处 是 可 以 限制 广播 范围 ， 
并 能 够 形成 虚拟 工作 组 ,动态 管理 网 络 。 

VLAN 增加 网 络 的 安全 性 的 主要 原理 是 ,因为 一 个 VLAN 就 是 一 个 单独 的 广播 域 ， 
VLAN 之 间 相 互 隔离 ,这 大 大 提高 了 网 络 的 利用 率 , 确 保 了 网 络 的 安全 保密 性 。 人 们 在 
VLAN 上 经 常 传送 一 些 保 密 的 ,关键 性 的 数据 ,保密 的 数据 应 提供 访问 控制 等 安全 手段 。 
一 个 有 效 和 容易 实现 的 方法 是 将 网 络 分 成 几 个 不 同 的 广播 组 ,网 络 管理 员 限 制 VLAN 中 
用 户 的 数量 ,禁止 未 经 允许 而 访问 VLAN 中 的 应 用 。 交 换 端口 可 以 基于 应 用 类 型 和 访问 
特权 来 进行 分 组 ,被 限制 的 应 用 程序 和 资源 一 般 置 于 安全 的 VLAN 中 。 


7.6 防火 墙 


7.6.1 防火 墙 概述 

Internet 的 发 展 给 政府 机 构 、 企 事业 单位 带 来 了 革命 性 的 改革 和 开放 ,它们 正 努 力 通 
过 利用 Internet 来 提高 办 事 效率 和 市 场 反 应 速度 ,以 便 更 具 竞争 力 。 通 过 Internet ,企业 
可 以 从 异地 取 回 重要 的 数据 ,同时 还 要 面 对 Internet 开放 带 来 的 数据 安全 的 新 挑战 和 新 
危险 , 即 客户 、 销 售 商 ,移动 用 户 、 异 地 员工 和 内 部 员工 的 安全 访问 ;以 及 保护 企业 的 机 密 
信息 不 受 黑 客 和 工业 间谍 的 入 侵 。 因 此 企业 必须 加 筑 安全 的 堡垒 ,而 这 个 堡垒 就 是 防火 
墙 。 防 火 墙 技术 是 建立 在 现代 通信 网 络 技术 和 信息 安全 技术 基础 上 的 应 用 性 安全 技术 ， 
越 来 越 多 地 应 用 于 专用 网 络 与 公用 网 络 的 互联 环境 中 ,尤其 以 接 入 Internet 网 络 最 甚 。 


1. 什么 是 防火 墙 

防火 墙 是 指 设置 在 不 同 网 络 (如 可 信任 的 企业 内 部 网 和 不 可 信任 的 公共 网 ) 或 网 络 安 
全 域 之 间 的 一 系列 部 件 的 组 合 。 它 是 不 同 网 络 或 网 络 安全 域 之 间 信 息 的 唯一 出 入 口 ,能 
根据 企业 的 安全 政策 控制 (允许 ,拒绝 监测) 出 入 网 络 的 信息 流 , 且 本 身 具 有 较 强 的 抗 攻 
击 能 力 。 它 是 提供 信息 安全 服务 ,实现 网 络 和 信息 安全 的 基础 设施 。 在 迎 辑 上 ,防火 墙 是 
一 个 分 离 器 一 个 限制 器 ,也 是 一 个 分 析 器 ,有 效 地 监控 内 部 网 和 Internet 之 间 的 任何 活 
动 ,保证 内 部 网 络 的 安全 。 


2. 防火 墙 的 基本 功能 

(1) 防火 墙 是 网 络 安全 的 屏障 

一 个 防火 墙 (作为 阻塞 点 ,控制 点 ) 能 极 大 地 提高 一 个 内 部 网 络 的 安全 性 ,并 通过 过 滤 
不 安全 的 服务 降低 风险 。 由 于 只 有 允许 的 应 用 协议 才能 通过 防火 墙 ,所 以 网 络 环境 变 得 
更 安全 。 如 防火 墙 可 以 禁止 诸如 众所周知 的 不 安全 的 NFS 协议 进出 受 保护 网 络 ,这 样 外 
部 的 攻击 者 就 不 可 能 利用 这 些 脆弱 的 协议 来 攻击 内 部 网 络 。 防 火 墙 同时 可 以 保护 网 络 免 
受 基于 路 由 的 攻击 ,如 IP 选项 中 的 源 路 由 攻击 和 ICMP 重 定向 中 的 重 定向 路 径 。 防 火 墙 
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可 以 拒绝 所 有 以 上 类 型 攻击 的 报 文 ,并 通知 防火 墙 管理 员 。 

(2) 防火 墙 可 以 强化 网 络 安全 策略 

通过 以 防火 墙 为 中 心 的 安全 方案 配置 ,可 以 将 所 有 安全 软件 (如 口令 .加 密 、 身 份 认 
证 ,审计 等 ) 配 置 在 防火 墙 上 。 与 将 网 络 安 全 问题 分 散 到 各 主机 上 相 比 ,防火 墙 的 集中 安 
全 管理 更 经 济 。 例 如 在 网 络 访问 时 ,一 次 一 密 口令 系统 和 其 他 的 身份 认证 系统 完全 可 以 
不 必 分 散在 各 个 主机 上 ,而 集中 在 防火 墙 身上 。 

(3) 对 网 络 存 取 和 访问 进行 监控 审计 

如 果 访 问 经 过 防火 墙 ,那么 防火 墙 就 能 记录 下 这 些 访 问 并 进行 日 志 记 录 , 同 时 也 能 提 
供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 动作 时 ,防火 墙 能 进行 适当 的 报警 ,并 提供 网 络 
是 否 受 到 监测 和 攻击 的 详细 信息 。 另 外 ,收集 一 个 网 络 的 使 用 和 误 用 情况 也 是 非常 重要 
的 ,可 以 清楚 防火 墙 是 否 能 够 抵挡 攻击 者 的 探测 和 攻击 ,并 且 清 楚 防 火 墙 的 控制 是 否 充 
足 。 而 网 络 使 用 统计 对 网 络 需 求 分 析 和 威胁 分 析 等 也 是 非常 重要 的 。 

(4) 防止 内 部 信息 的 外 汇 

通过 利用 防火 墙 对 内 部 网 络 的 划分 ,可 实现 内 部 网 络 重点 网 段 的 隔离 ,从 而 限制 局 部 
重点 或 敏感 网 络 安全 问题 对 全 局 网 络 造 成 的 影响 。 另 外 ,隐私 是 内 部 网 络 非常 关心 的 问 
题 ,一 个 内 部 网 络 中 不 引 人 注 意 的 细节 可 能 包含 有 关 安 全 的 线索 而 引起 外 部 攻击 者 的 兴 
趣 , 甚 至 因此 而 暴露 内 部 网 络 的 某 些 安全 漏洞 。 使 用 防火 墙 就 可 以 隐蔽 那些 透漏 内 部 细 
节 的 服务 ,如 Finger,DNS 等 服务 。Finger 显示 了 主机 的 所 有 用 户 的 注册 名 、 真 名 、 最 后 
登录 时 间 和 使 用 shell 类 型 等 ,但 是 Finger 显示 的 信息 非常 容易 被 攻击 者 所 获悉 。 攻 击 
者 可 以 知道 一 个 系统 使 用 的 频繁 程度 ,这 个 系统 是 否 有 用 户 正在 连 线 上 网 ,这 个 系统 是 否 
在 被 攻击 时 引起 注意 等 。 防 火 墙 可 以 阻塞 有 关内 部 网 络 中 的 DNS 信息 ,这 样 一 台 主 机 的 
域名 和 IP 地 址 就 不 会 被 外 界 所 了 解 。 

除了 安全 作用 ,防火 墙 还 支持 具有 Internet 服务 特性 的 企业 内 部 网 络 技术 体系 
VPN。 通 过 VPN ,可 将 企 事业 单位 在 地 域 上 分 布 在 全 世界 各 地 的 LAN 或 专用 子 网 有 机 
地 连 成 一 个 整体 ,不 仅 省 去 了 专用 通信 线路 ,而且 为 信息 共享 提供 了 技术 保障 。 
7.6.2 防火 墙 的 种 类 

防火 墙 技术 可 根据 防范 的 方式 和 侧重 点 的 不 同 分 为 很 多 种 类 型 ,但 总 体 来 讲 可 分 为 
两 大 类 : 分 组 过 滤 .应 用 代理 。 

分 组 过 滤 (Packet Filtering) 作 用 在 网 络 层 和 传输 层 , 它 根据 分 组 包头 源 地 址 .目的 地 
址 和 端口 号 .协议 类 型 等 标志 确定 是 否 允 许 数 据 包 通 过 。 只 有 满足 过 滤 逻 辑 的 数据 包 才 
被 转发 到 相应 的 目的 地 出 口 端 , 其 余数 据 包 则 从 数据 流 中 丢弃 。 

应 用 代理 (Application Proxy) 也 叫 应 用 网 关 (Application Gateway) , 它 作用 在 应 用 
层 , 其 特点 是 完全 阻隔 了 网 络 通信 流 , 通 过 对 每 种 应 用 服务 编制 专门 的 代理 程序 ,实现 监 
视 和 控制 应 用 层 通信 流 的 作用 。 实 际 中 的 应 用 网 关 通 常 由 专用 工作 站 实现 。 

下 面 对 基 于 以 上 两 种 类 型 的 防火 墙 的 具体 特征 进行 分 析 。 


1. 分 组 过 滤 型 防火 墙 
分 组 过 滤 或 包 过 滤 是 一 种 通用 、 廉 价 、 有 效 的 安全 手段 。 之 所 以 通用 ,因为 它 不 针对 


各 具体 的 网 络 服务 采取 特殊 的 处 理 方式 ;之 所 以 廉价 ,因为 大 多 数 路 由 器 都 提供 分 组 过 滤 
功能 :之 所 以 有 效 , 因 为 它 能 很 好 地 满足 企业 的 安全 要 求 。 

包 过 滤 在 网 络 层 和 传输 层 起 作用 。 它 根据 分 组 包 的 源 、 宿 地 址 ,端口 号 及 协议 类 型 、 
标志 确定 是 否 允 许 分 组 包 通 过 ,所 根据 的 信息 来 源 于 IP,TCP 或 UDP 包头 。 包 过 滤 的 优 
点 是 不 用 改动 客户 机 和 主机 上 的 应 用 程序 ,因为 它 工 作 在 网 络 层 和 传输 层 , 与 应 用 层 无 
关 ; 但 其 弱点 也 很 明显 。 可 以 过 滤 判 别 的 只 有 网 络 层 和 传输 层 的 有 限 信息 ,因而 各 种 安全 
要 求 不 可 能 充分 满足 ;在 许多 过 滤器 中 ,过 滤 规 则 的 数目 是 有 限制 的 , 且 随 着 规则 数目 的 
增加 ,性 能 会 受到 很 大 的 影响 :由 于 缺少 上 下 文 关 联 信 息 , 不 能 有 效 地 过 滤 如 UDP,RPC 
这 类 的 协议 ;另外 ,大 多 数 过 滤器 中 缺少 审计 和 报警 机 制 , 且 管理 方式 和 用 户 界 面 较 差 ;对 
安全 管理 人 员 素 质 要求 高 ,建立 安全 规则 时 ,必须 对 协议 本 身 及 其 在 不 同 应 用 程序 中 的 作 
用 有 较 深 入 的 理解 。 因 此 ,过 滤器 通常 和 应 用 网 关 配 合 使 用 ,共同 组 成 防火 墙 系统 。 


2. 应 用 代理 型 防火 墙 

应 用 代理 型 防火 墙 是 内 部 网 与 外 部 网 的 隔离 点 ,起 着 监视 和 隔绝 应 用 层 通信 流 的 作 
用 ,同时 也 常 结合 过 滤器 的 功能 。 它 工作 在 OSI 模型 的 最 高 层 , 掌 握 应 用 系统 中 可 用 作 
安全 决策 的 全 部 信息 。 


3. 复合 型 防火 墙 

由 于 对 更 高 安全 性 的 要 求 , 常 把 基于 包 过 滤 的 方法 与 基于 应 用 代理 的 方法 结合 起 来 ， 
形成 复合 型 防火 墙 产品 。 这 种 结合 通常 采用 以 下 两 种 方案 。 

@ 屏蔽 主机 防火 墙 体系 结构 : 在 该 结构 中 ,分 组 过 滤 路 由 器 或 防火 墙 与 Internet 相 
连 ,同时 一 个 堡垒 机 安装 在 内 部 网 络 ,通过 在 分 组 过 滤 路 由 器 或 防火 墙 上 设置 过 滤 规 则 ， 
使 堡垒 机 成 为 Internet 上 的 其 他 节点 所 能 到 达 的 唯一 节点 ,确保 内 部 网 络 不 受 未 授权 外 
部 用 户 的 攻击 。 

@ 屏蔽 子 网 防火 墙 体系 结构 : 堡垒 机 放 在 一 个 子 网 内 ,形成 非 军事 化 区 ,两 个 分 组 
过 滤 路 由 器 放 在 这 一 子 网 的 两 端 ,使 该 子 网 与 Internet 及 内 部 网 络 分 离 。 在 屏蔽 子 网 防 
火 墙 体系 结构 中 ,堡垒 主机 和 分 组 过 滤 路 由 器 共同 构成 了 整个 防火 墙 的 安全 基础 。 


7.6.3 防火 墙 部 署 模式 


1. 路 由 模式 

传统 防火 墙 一 般 工作 于 路 由 模式 ,防火 墙 可 以 让 处 于 不 同 网 段 的 计算 机 通过 路 由 转 
发 的 方式 互相 通信 。 如 图 7-43 所 示 就 是 一 个 最 简单 的 工作 于 路 由 模式 的 防火 墙 的 应 用 ， 
网 络 192. 168. 1.0( 掩 码 为 255. 255. 255. 0) 和 10. 1. 1.0( 掩 码 为 255. 255. 255.0) 通 过 防 
火 墙 的 路 由 转发 包 功 能 相互 通信 。 

但 是 ,路 由 模式 下 的 防火 墙 有 两 个 局 限 。 防 火 墙 的 不 同 网 口 所 接 的 局 域 网 都 位 于 同 
一 网 段 时 ,传统 的 工作 于 网 络 层 的 防火 墙 无 法 完成 这 种 方式 的 包 转 发 ;被 防火 墙 保护 的 网 
络 内 的 主机 要 将 原来 指向 路 由 器 的 网 关 设 置 修改 成 指向 防火 墙 ,同时 ,被 保护 网 络 原来 的 
路 由 器 应 该 修改 路 由 表 以 便 转 发 防火 墙 的 IP 报 文 。 如 果 用 户 的 网 络 非常 复杂 ,这 就 给 防 
火 墙 用 户 带 来 了 设置 上 的 麻烦 。 
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图 7-43 按 路 由 模式 部 署 防火 墙 


2. 透明 模式 

针对 上 述 的 情况 就 产生 了 工作 在 透明 模式 下 的 防火 墙 。 工 作 在 透明 模式 下 的 防火 墙 
可 以 克服 上 述 路 由 模式 下 防火 墙 的 缺点 , 它 不 但 可 以 完成 同一 网 段 的 包 转 发 ,而 且 不 需要 
修改 周边 网 络 设备 的 设置 ,就 可 以 提供 很 好 的 透明 性 。 

由 图 7-44 可 以 知道 ,工作 于 透明 模式 的 防火 墙 可 以 实现 透明 接 人 ,工作 于 路 由 模式 
的 防火 墙 可 以 实现 不 同 网 段 的 连接 。 但 路 由 模式 的 优点 和 透明 模式 的 优点 是 不 能 同时 并 
存 的 。 所 以 ,大 多 数 的 防火 墙 一 般 同时 保留 了 透明 模式 和 路 由 模式 ,根据 用 户 的 网 络 情况 
及 用 户 需 求 , 在 使 用 时 由 用 户 进行 选择 ,让 防火 墙 在 透明 模式 和 路 由 模式 下 进行 切换 ,或 
提供 一 种 所 谓 的 混合 模式 同时 有 透明 模式 和 路 由 模式 ,但 与 物理 接口 是 相关 的 ,各 物 
理 网 卡 只 能 工作 在 路 由 模式 或 透明 模式 ,而 不 能 同时 使 用 这 两 种 模式 。 


- 


子 网 : 192.168.1.0 
掩 码 : 255.255.255.0 
网 关 : 192.168.1.254 


掩 码 : 255.255.255.0 
路 由 器 


1 
1 
内 口 地址 : 192.168.1.2541 
| 
1 
1 


子 网 ，192.168.1.0 
掩 码 ，255.255.255.0 | 防火墙 (透明 模式 ) 
网 关 : 192.168.1.254 1 


LN a 是 
了 en 1 
BE | 

| 1 1 | 

| 1 1 | 

1 1 ESN 1 1 
人 
| | | 内 口 地 址 ， “| 

1 1 

| 1 1 

| 

I 


图 7-44” 按 透明 模式 部 署 防火 墙 
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3. 混合 模式 


如 图 7-45 所 示 是 一 个 混合 使 用 了 防火 墙 的 路 由 与 透明 模式 的 网 络 拓扑 结构 ,防火 墙 
实现 了 多 工作 模式 的 自 适应 ,用 户 在 设置 防火 墙 时 的 工作 量 大 大 降低 了 。 用 户 实际 工作 
中 的 使 用 环境 是 多 种 多 样 的 ,具备 了 多 工作 模式 自 适 应 技术 的 防火 墙 一 定 会 使 用 户 在 不 
同 的 网 络 环境 下 应 用 得 更 加 得 心 应 手 。 
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图 7-45 在 混合 模式 下 部 署 防火 墙 


7.6.4 各 类 防火 墙 的 优 缺 点 


1. 包 过 滤 防 火 墙 

使 用 包 过 滤 防 火 墙 的 优点 包括 以 下 几 方 面 : 

Q@ 防火 墙 对 每 个 传人 和 传 出 网 络 的 包 实 行 低 水 平 控制 。 

@ 每 个 IP 包 的 字段 都 被 检查 ,例如 源 地 址 .目的 地 址 .协议 .端口 等 ,防火 墙 将 基于 
这 些 信息 应 用 过 滤 规 则 。 

@ 防火 墙 可 以 识别 和 丢弃 带 欺 骗 性 源 IP 地 址 的 包 。 

@ 包 过 滤 防 火 墙 是 两 个 网 络 之 间 访 问 的 唯一 来 源 。 因 为 所 有 的 通信 必须 通过 防火 
墙 , 绕 过 是 很 困难 的 。 

加 包 过 滤 通 常 被 包含 在 路 由 器 数据 包 中 ,所 以 不 需要 额外 的 系统 来 处 理 这 个 特征 。 

使 用 包 过 滤 防 火 墙 的 缺点 包括 以 下 几 个 方面 : 

中 配置 困难 。 因 为 包 过 滤 防 火 墙 很 复杂 ,人 们 经 常会 忽略 建立 一 些 必 要 的 规则 ,或 


者 错误 配置 已 有 的 规则 ,在 防火 墙 上 留 下 漏洞 。 然 而 ,在 市 场 上 许多 新 版 本 的 防火 墙 对 这 个 缺 
点 正在 进行 改进 ,如 开发 者 实现 了 基于 图 形 化 用 户 界面 (GUD 的 配置 和 更 直接 的 规则 定义 。 

G@ 为 特定 服务 开放 的 端口 存在 着 危险 ,可 能 会 被 用 于 其 他 传输 。 例 如 , Web 服务 器 
的 默认 端口 为 80 ,而 计算 机 上 又 安装 了 RealPlayer, 那 么 它 会 搜寻 可 以 允许 连接 到 
RealAudio 服务 器 的 端口 ,而 不 管 这 个 端口 是 否 被 其 他 协议 所 使 用 。RealPlayer 正好 是 
使 用 80 端口 ,这 样 RealPlayer 就 利用 了 Web 服务 器 的 端口 。 

@ 可 能 还 有 其 他 方法 绕 过 防火 墙 进入 网 络 , 例 如 拨 入 连接 ,但 这 并 不 是 防火 墙 自身 
的 缺点 ,而 是 不 应 该 在 网 络 安 全 上 单纯 依赖 防火 墙 的 原因 。 


2. 状态 /动态 检测 防火 墙 

状态 /动态 检测 防火 墙 的 优点 有 以 下 几 个 方面 : 

中 检查 IP 包 的 每 个 字段 的 能 力 ,并 遵从 基于 包 中 信息 的 过 滤 规 则 。 

G@ 识别 带 有 欺骗 性 源 IP 地 址 包 的 能 力 。 

@ 基于 应 用 程序 信息 验证 一 个 包 的 状态 的 能 力 , 例如 基于 一 个 已 经 建立 的 FTP 连 
接 , 允 许 返 回 的 FTP 包 通 过 ,或 允许 一 个 先前 认证 过 的 连接 继续 与 被 授予 的 服务 通信 。 

记录 有 关 通 过 的 每 个 包 的 详细 信息 的 能 力 。 防 火 墙 基本 上 用 来 确定 包 状态 的 所 有 信 
息 都 可 以 被 记录 ,包括 应 用 程序 对 包 的 请 求 .连接 的 持续 时 间 .内 部 和 外 部 系统 所 做 的 连 

状态 /动态 检测 防火 墙 唯一 的 缺点 就 是 所 有 这 些 记录 ,测试 和 分 析 工 作 可 能 会 造成 网 
络 连接 的 某 种 迟滞 ,特别 是 在 同时 有 许多 连接 激活 的 时 候 , 或 者 有 大 量 的 过 滤 网 络 通信 的 
规则 存在 时 。 但 是 ,硬件 速度 越 快 , 这 个 问题 就 越 不 易 察觉 ,而 且 防 火 墙 的 制造 商 一 直 致 
力 于 提高 它们 产品 的 速度 。 


3. 应 用 程序 代理 防火 墙 

应 用 程序 代理 防火 墙 的 优点 有 以 下 几 个 方面 : 

@ 指定 对 连接 的 控制 ,例如 允许 或 拒绝 基于 服务 器 IP 地 址 的 访问 ,或 者 允许 或 拒绝 
基于 用 户 所 请 求 连接 的 IP 地 址 的 访问 。 

@ 通过 限制 某 些 协 议 的 传 出 请 求 ,来 减少 网 络 中 不 必要 的 服务 。 

@ 大 多 数 代理 防火 墙 能 够 记录 所 有 的 连接 ,包括 地 址 和 持续 时 间 。 这 些 信息 对 追踪 
攻击 和 发 生 的 未 授权 访问 的 事件 是 很 有 用 的 。 

应 用 程序 代理 防火 墙 的 缺点 有 以 下 两 个 方面 : 

Q@ 必须 在 一 定 范围 内 定制 用 户 的 系统 ,这 取决 于 所 用 的 应 用 程序 。 

@ 一 些 应 用 程序 可 能 根本 不 支持 代理 连接 。 


4. 使 用 防火 墙 中 的 NAT 

使 用 NAT 的 优点 有 以 下 几 个 方面 : 

@ 所 有 内 部 的 IP 地 址 对 外 面 的 用 户 来 说 是 隐蔽 的 ,因此 ,网 络 之 外 没有 人 可 以 通过 
指定 IP 地 址 的 方式 直接 对 网 络 内 的 任何 一 台 特 定 的 计算 机 发 起 攻击 。 

@ 如 果 因 为 某 种 原因 而 使 公共 IP 地 址 资源 比较 短缺 ,NAT 可 以 使 整个 内 部 网 络 共 
享 一 个 IP 地 址 。 
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可 以 启用 基本 的 包 过 滤 防 火 墙 安全 机 制 , 因 为 所 有 传人 的 包 如 果 没 有 专门 指定 配 
置 到 NAT, 那 么 就 会 被 丢弃 ,内 部 网 络 的 计算 机 就 不 可 能 直接 访问 外 部 网 络 。 

NAT 的 缺点 和 包 过 滤 防 火 墙 的 缺点 是 一 样 的 。 虽 然 可 以 保障 内 部 网 络 的 安全 ,但 
它 也 有 一 些 类 似 的 局 限 。 而 且 内 网 可 以 利用 流传 比较 广泛 的 木马 程序 通过 NAT 做 外 部 
连接 ,就 像 它 可 以 穿 过 包 过 滤 防 火 墙 一 样 容易 。 

注意 : 现在 有 很 多 厂商 开发 的 防火 墙 , 特 别 是 状态 /动态 检测 防火 墙 ,除了 它们 应 该 
具有 的 功能 之 外 ,也 提供 了 NAT 的 功能 。 


7.7 计算 机 病毒 与 黑客 攻击 


7.7.1 计算 机 病毒 概述 


1. 计算 机 病毒 的 定义 

计算 机 病毒 (Computer Virus) 是 指 编制 的 程序 或 者 在 计算 机 程序 中 插入 的 代码 具有 
破坏 计算 机 功能 的 数据 ,影响 计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 
代码 。 

病毒 不 是 来 源 于 突 发 或 偶然 的 原因 ,一 次 突 发 的 停电 或 偶然 的 错误 ,会 在 计算 机 的 磁 
盘 和 内 存 中 产生 一 些 乱码 和 随机 指令 ,但 这 些 代码 是 无 序 和 混乱 的 。 病 毒 则 是 一 种 比较 
完美 的 ,精巧 严 谨 的 代码 ,按照 严格 的 秩序 组 织 起 来 ,与 所 在 的 系统 网 络 环境 相 适 应 并 配 
合 起 来 。 病 毒 不 会 通过 偶然 形成 ,而 且 需 要 有 一 定 的 长 度 ,这 个 基本 的 长 度 从 概率 上 来 讲 
是 不 可 能 通过 随机 代码 产生 的 。 

病毒 是 人 为 的 特制 程序 ,现在 流行 的 病毒 是 由 人 为 故意 编写 的 ,多 数 病毒 可 以 找到 作 
者 信息 和 产地 信息 。 通 过 大 量 的 资料 分 析 统 计 来 看 ,病毒 制作 者 的 主要 情况 和 目的 是 一 
些 天 才 的 程序 员 为 了 表现 自己 和 证 明 自 己 的 能 力 、 出 于 对 上 司 的 不 满 ,为 了 好 奇 . 为 了 报 
复 .为 了 祝贺 和 求爱 ,为 了 得 到 控制 口令 或 为 了 软件 拿 不 到 报酬 而 预 留 的 陷阱 等 原因 编 
写 。 当 然 也 有 因 政 治 .军事 .宗教 .民族 .专利 等 方面 的 需求 而 专门 编写 的 ,其 中 也 包括 一 
些 病毒 研究 机 构 和 黑客 的 测试 病毒 。 


2. 计算 机 病毒 的 特点 

计算 机 病毒 的 特点 是 未 经 授权 而 执行 。 一 般 正 常 的 程序 是 由 用 户 调用 ,再 由 系统 分 
配 资源 ,从 而 完成 用 户 交 给 的 任务 ,其 目的 对 用 户 是 可 见 的 .透明 的 。 而 病毒 具有 正常 程 
序 的 一 切 特性 , 它 隐藏 在 正常 程序 中 , 当 用 户 调用 正常 程序 时 窃取 到 系统 的 控制 权 , 先 于 
正常 程序 执行 。 病 毒 的 动作 、 目 的 对 用 户 是 未 知 的 ,是 未 经 用 户 允 许 的 。 

计算 机 病毒 之 所 以 被 称 为 病毒”, 主要 是 由 于 它 有 类 似 于 自然 界 病毒 的 某 些 特征 。 
其 主要 特征 有 以 下 几 种 : 

@ 隐蔽 性 是 指 病毒 的 存在 、 传 染 和 对 数据 的 破坏 过 程 不 易 被 计算 机 操作 人 员 发 现 。 
病毒 一 般 是 具有 很 高 编程 技巧 短小精悍 的 程序 ,通常 附 在 正常 程序 中 或 磁盘 较 隐 项 的 地 
方 ,也 有 个 别 的 以 隐 含 文件 形式 出 现 ,其 目的 是 不 让 用 户 发 现 它 的 存在 。 如 果 不 经 过 代码 
分 析 , 病 毒 程序 与 正常 程序 是 不 容易 区 别 开 来 的 。 一 般 在 没有 防护 措施 的 情况 下 ,计算 机 


病毒 程序 取得 系统 控制 权 后 ,可 以 在 很 短 的 时 间 内 传染 大 量程 序 。 而 且 受到 传染 后 ,计算 
机 系统 通常 仍 能 正常 运行 ,使 用 户 不 会 感到 任何 异常 。 如 果 病 毒 在 传染 到 计算 机 上 之 后 ， 
机 器 马上 无 法 正常 运行 ,那么 它 本 身 也 就 无 法 继续 进行 传染 。 正 是 由 于 隐蔽 性 ,计算 机 病 
毒 得 以 在 用 户 没 有 察觉 的 情况 下 扩散 到 上 百 万 台 计 算 机 中 。 大 部 分 病毒 的 代码 之 所 以 设 
计 得 非常 短小 ,也 是 为 了 隐藏 。 病 毒 一 般 只 有 几 百 或 1KB, 而 PC 对 DOS 文件 的 存 取 速 
度 可 达 每 秒 几 百 字 节 以 上 ,所 以 病毒 转瞬 之 间 便 可 将 这 短 短 的 几 百 字 节 附着 到 正常 程序 
之 中 ,非常 不 易 被 察觉 。 

@ 寄生 性 是 指 计算 机 病毒 通常 是 依附 于 其 他 文件 而 存在 的 。 

@ 传染 性 是 指 计算 机 病毒 在 一 定 条 件 下 可 以 自我 复制 ,能 对 其 他 文件 或 系统 进行 一 
系列 非法 操作 ,并 使 之 成 为 一 个 新 的 传染 源 。 传 染 性 是 病毒 的 基本 特征 。 在 生物 界 , 通 过 
传染 ,病毒 从 一 个 生物 体 扩 散 到 另 一 个 生物 体 ,在 适当 的 条 件 下 , 它 可 进行 大 量 繁殖 ,并 使 
被 感染 的 生物 体 表现 出 病症 甚至 死亡 。 同 样 ,计算 机 病毒 也 会 通过 各 种 渠道 从 已 被 感染 
的 计算 机 扩散 到 未 被 感染 的 计算 机 ,在 某 些 情况 下 造成 被 感染 的 计算 机 工作 失常 甚至 次 
痪 。 与 生物 病毒 不 同 的 是 ,计算 机 病毒 是 一 段 人 为 编制 的 计算 机 程序 代码 ,这 段 程序 代码 
一 旦 进入 计算 机 并 得 以 执行 ,就 会 搜寻 其 他 符合 其 传染 条 件 的 程序 或 存储 介质 ,确定 日 标 
后 再 将 自身 代码 插入 其 中 ,达到 自我 繁殖 的 目的 。 若 一 台 计算 机 染 毒 ,如 果 不 及 时 处 理 ， 
那么 病毒 会 在 这 台 机 器 上 迅速 扩散 ,其 中 的 大 量 文件 (一 般 是 可 执行 文件 ) 会 被 感染 。 而 
被 感染 的 文件 又 变 成 新 的 传染 源 ,在 与 其 他 机 器 进行 数据 交换 或 通过 网 络 接触 时 ,病毒 会 
继续 进行 传染 。 正 常 的 计算 机 程序 一 般 不 会 将 自身 的 代码 强行 连接 到 其 他 程序 上 ,而 病 
毒 却 能 使 自身 的 代码 强行 传染 到 一 切 符合 其 传染 条 件 的 未 受到 传染 的 程序 上 。 计 算 机 病 
毒 可 通过 各 种 可 能 的 渠道 ,如 软盘 、 计 算 机 网 络 去 传染 其 他 的 计算 机 。 在 一 台 机 器 上 发 现 
病毒 时 ,往往 曾 在 这 台 计 算 机 上 用 过 的 软盘 也 已 感染 了 病毒 ,而 与 这 台 机 器 相连 的 其 他 计 
算 机 也 许 已 被 该 病毒 侵 染 。 是 否 具有 传染 性 是 判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 
的 条 件 。 

@ 触发 性 是 指 病毒 的 发 作 一 般 都 需要 一 个 激发 条 件 , 可 以 是 日 期 \ 时 间 、 特 定 程序 的 
运行 或 程序 的 运行 次 数 等 ,如 臭名 昭著 的 CIH 病毒 就 发 作 于 每 个 月 的 26 日 。 大 部 分 的 
病毒 在 感染 系统 之 后 一 般 不 会 马上 发 作 , 它 会 长 期 隐藏 在 系统 中 ,只 有 在 满足 其 特定 条 件 
时 才 启 动 其 表现 (破坏 ) 模 块 ,只 有 这 样 它 才 可 以 进行 广泛 地 传播 。 如 PETER-2 在 每 年 
的 2 月 27 日 会 提 三 个 问题 , 答 错 后 会 将 硬盘 加 密 。 著 名 的 “黑色 星期 五 ”在 着 13 日 的 星 
期 五 改作。 国内 的 “上 海 一 号 ”会 在 每 年 3、6、9 月 的 13 日 改作。 当然 ,最 令 人 难忘 的 便 是 
26 日 发 作 的 CIH。 这 些 病毒 在 平时 会 隐藏 得 很 好 ,只 有 在 发 作 日 才 会 露出 本 来 面目 。 

@ 破坏 性 是 指 病毒 在 触发 条 件 满足 时 ,立即 对 计算 机 系统 的 文件 .资源 等 的 运行 进 
行 干扰 破坏 。 

@ 不 可 预见 性 是 指 病毒 相对 于 防毒 软件 永远 是 超前 的 ,理论 上 讲 , 没 有 任何 杀毒 软 
件 能 将 所 有 的 病毒 杀 除 。 

任何 病毒 只 要 侵入 系统 ,都 会 对 系统 及 应 用 程序 产生 不 同 程度 的 影响 。 轻 者 会 降低 
计算 机 工作 效率 ,占用 系统 资源 , 重 者 可 导致 系统 崩溃 。 由 此 特性 可 将 病毒 分 为 良性 病毒 
与 恶性 病毒 。 良 性 病毒 可 能 只 显示 一 些 画面 或 放出 点 音乐 .无 聊 的 语句 ,或 者 根本 没有 任 
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何 破坏 动作 ,但 会 占用 系统 资源 。 这 类 病毒 较 多 ,如 GENP、 小 球 `.W-BOOT 等 。 恶 性病 
毒 则 有 明确 的 目的 ,或 破坏 数据 、 删 除 文件 ,或 加 密 磁 盘 、 格 式 化 磁盘 ,有 的 会 对 数据 造成 
不 可 挽回 的 破坏 ,这 也 反映 出 病毒 编制 者 的 险恶 用 心 。 从 对 病毒 的 检测 方面 来 看 ,病毒 还 
有 不 可 预见 性 。 不 同 种 类 的 病毒 ,它们 的 代码 千差万别 ,但 有 些 操作 是 共有 的 (如 驻 内 存 、 
改 中 断 )。 有 些 人 利用 病毒 的 这 种 共性 ,制作 声称 可 查 所 有 病毒 的 程序 。 这 种 程序 的 确 可 
查 出 一 些 新 病毒 ,但 由 于 目前 的 软件 种 类 极其 丰富 ,并 且 某 些 正 常 程序 也 使 用 了 类 似 病 毒 
的 操作 ,甚至 借鉴 了 某 些 病毒 的 技术 ,使 用 这 种 方法 对 病毒 进行 检测 势必 会 造成 较 多 的 误 
报 情况 。 而 且 病毒 的 制作 技术 也 在 不 断 地 提高 ,病毒 相对 于 反 病毒 软件 永远 是 超前 的 。 


3. 计算 机 病毒 的 分 类 

计算 机 病毒 可 以 根据 下 面 的 属性 进行 分 类 。 

(1) 病毒 存在 的 媒体 

根据 病毒 存在 的 媒体 ,病毒 可 以 分 为 网 络 病毒 .文件 病毒 .引导 型 病毒 。 

网 络 病毒 通过 计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 ,文件 病毒 感染 计算 机 中 的 
文件 (如 COM,EXE,DOC 等 ) 。 

文件 型 病毒 寄生 在 其 他 文件 中 ,常常 通过 对 它们 的 编码 加 密 或 使 用 其 他 技术 来 隐藏 
自己 。 文 件 型 病毒 抢夺 用 来 启动 主 程序 的 可 执行 命令 ,用 作 它 自身 的 运行 命令 ,同时 还 经 
常 将 控制 权 还 给 主 程序 ,伪装 计算 机 系统 正常 运行 。 一 旦 运行 感染 了 病毒 的 程序 文件 , 病 
毒 便 被 激发 ,执行 大 量 的 操作 ,并 进行 自我 复制 ,同时 附着 在 系统 的 其 他 可 执行 文件 上 伪 
装 自身 ,并 留 下 标记 ,以 后 不 再 重复 感染 。 

引导 型 病毒 感染 启动 扇 区 (Boot) 和 硬盘 的 系统 引导 扇 区 (MBR) ,这 类 病毒 隐藏 在 硬 
盘 或 软盘 的 引导 区 中 , 当 计算 机 从 感染 了 引导 型 病毒 的 硬盘 或 软盘 启动 ,或 当 计 算 机 从 受 
感染 的 软盘 中 读 取 数据 时 ,引导 型 病毒 就 开始 发 作 。 一 旦 它们 将 自己 复制 到 机 器 的 内 存 
中 ,马上 就 会 感染 其 他 磁盘 的 引导 区 ,或 通过 网 络 传播 到 其 他 计算 机 上 。 

还 有 这 3 种 情况 的 混合 型 ,例如 ,多 型 病毒 (文件 和 引导 型 ) 可 感染 文件 和 引导 扇 区 两 
个 目标 ,这 样 的 病毒 通常 都 具有 复杂 的 算法 ,它们 使 用 非常 规 的 方法 侵入 系统 ,同时 使 用 
了 加 密 和 变形 算法 。 

(2) 病毒 传染 的 方法 

根据 病毒 传染 的 方法 可 分 为 驻 留 型 病毒 和 非 驻 留 型 病毒 。 驻 留 型 病毒 感染 计算 机 
后 ,把 自身 的 内 存 驻 留 部 分 放 在 内 存 (RAM) 中 ,这 一 部 分 程序 挂 接 系统 调用 并 合并 到 操 
作 系统 中 , 它 处 于 激活 状态 ,一 直到 关机 或 重新 启动 。 非 驻 留 型 病毒 在 得 到 机 会 激活 时 并 
不 感染 计算 机 内 存 :一 些 病毒 在 内 存 中 留 有 一 小 部 分 ,但 是 并 不 通过 这 一 部 分 进行 传染 ， 
这 类 病毒 也 被 划分 为 非 驻 留 型 病毒 。 

(3) 病毒 破坏 的 能 力 

根据 病毒 破坏 的 能 力 可 划分 为 以 下 几 种 。 

a 无 害 型 : 除了 传染 时 减少 磁盘 的 可 用 空间 外 ,对 系统 没有 其 他 影响 。 

@ 无 危险 型 : 这 类 病毒 仅仅 减少 内 存 、 显 示 图 像 ,发 出 声音 及 同类 音响 。 

@ 危险 型 : 这 类 病毒 在 计算 机 系统 操作 中 会 造成 严重 的 错误 。 

@ 非常 危险 型 : 这 类 病毒 会 删除 程序 ,破坏 数据 、 清 除 系统 内 存 区 和 操作 系统 中 重 
要 的 信息 。 


这 些 病毒 对 系统 造成 的 危害 并 不 是 本 身 的 算法 中 存在 危险 的 调用 ,而 是 当 它们 传染 
时 会 引起 无 法 预料 的 、 灾 难 性 的 破坏 。 由 病毒 引起 其 他 的 程序 产生 的 错误 也 会 破坏 文件 
和 扇 区 ,这 些 病毒 也 可 按照 它们 引起 破坏 的 能 力 划 分 。 一 些 现在 的 无 害 型 病毒 也 可 能 会 
对 新 版 的 DOS, Windows 和 其 他 操作 系统 造成 破坏 。 例 如 在 早期 的 病毒 中 ,有 一 个 
Denzuk 病毒 在 360KB 磁盘 上 可 很 好 地 工作 ,不 会 造成 任何 破坏 ,但 是 在 后 来 的 高 密度 软 
盘 上 却 能 引起 大 量 的 数据 丢失 。 
(4) 病毒 特有 的 算法 
根据 病毒 特有 的 算法 ,病毒 可 以 分 为 3 种 。 
OO 伴随 型 病毒 : 这 类 病毒 并 不 改变 文件 本 身 , 它 们 根据 算法 产生 EXE 文件 的 伴随 
体 , 具 有 同样 的 名 字 和 不 同 的 扩展 名 (COM) ,例如 XCOPY. EXE 的 伴随 体 是 XCOPY. 
COM。 病 毒 把 自身 写 人 COM 文件 而 不 改变 EXE 文件 , 当 DOS 加 载 文 件 时 ,伴随 体 优先 
被 执行 ,再 由 伴随 体 加 载 执 行 原来 的 EXE 文件 。 
@ 蠕虫 型 病毒 : 通过 计算 机 网 络 传播 ,不 改变 文件 和 资料 信息 ,利用 网 络 从 一 台 机 
器 的 内 存 传播 到 其 他 机 器 的 内 存 , 计 算 网 络 地 址 ,将 自身 的 病毒 通过 网 络 发 送 。 有 时 它们 
在 系统 中 存在 ,一 般 除 了 内 存 不 占用 其 他 资源 。 
@ 寄生 型 病毒 : 除了 伴随 型 和 蠕虫 型 ,其 他 病毒 均 可 称 为 寄生 型 病毒 。 它 们 依附 在 
系统 的 引导 扇 区 或 文件 中 ,通过 系统 的 功能 进行 传播 , 按 算法 可 分 为 以 下 3 种 。 
。 练习 型 病毒 : 病毒 自身 包含 错误 ,不 能 进行 很 好 地 传播 ,例如 一 些 病毒 在 调试 
阶段 。 
。 诡 秘 型 病毒 : 它们 一 般 不 直接 修改 DOS 中 断 和 扇 区 数据 ,而 是 通过 设备 技术 和 文 
件 缓冲 区 等 对 DOS 内 部 进行 修改 ,不 易 看 到 资源 ,使 用 比较 高 级 的 技术 ,利用 
DOS 空闲 的 数据 区 进行 工作 。 
。 变型 病毒 (又 称 为 幽灵 病毒 ) : 这 类 病毒 使 用 一 个 复杂 的 算法 ,使 自己 每 传播 一 份 
都 具有 不 同 的 内 容 和 长 度 。 它 们 一 般 由 一 段 混 有 无 关 指令 的 解码 算法 和 被 变化 
过 的 病毒 体 组 成 。 


4. 病毒 和 黑客 的 关系 

黑客 (Hacker) 源 于 英语 动词 hack. 意 为 “ 辟 , 砍 ”, 引 申 为 干 了 一 件 非常 漂亮 的 工作 。 
一 般 认为 ,黑客 起 源 于 20 世纪 50 年 代 麻 省 理工 学 院 的 实验 室 中 ,他 们 精力 充沛 , 热 囊 于 
解决 难题 。20 世纪 六 七 十 年 代 , 黑 客 一 词 极 富 褒 义 ,用 于 指 代 那些 独立 思考 . 泰 公 守 法 的 
计算 机 迷 。 他 们 智力 超群 ,对 计算 机 全 身心 投入 ,从 事 黑 客 活动 意味 着 对 计算 机 的 最 大 潜 
力 进 行 智力 上 的 自由 探索 ,为 计算 机 技术 的 发 展 作出 了 巨大 贡献 。 黑 客 喜欢 探索 软件 程 
序 奥 秘 , 并 从 中 增长 其 个 人 才能 。 他 们 不 像 绝 大 多 数 计算 机 使 用 者 那样 ,只 规 规矩 矩 地 了 
解 别人 指定 了 解 的 狭小 部 分 知识 。 他 们 通常 具有 硬件 和 软件 的 高 级 知识 ,并 有 能 力 通过 
创新 的 方法 剖析 系统 。 黑 客 能 使 更 多 的 网 络 趋 于 完善 和 安全 ,他 们 以 保护 网 络 为 目的 ,而 
以 不 正当 侵入 为 手段 找 出 网 络 漏洞 。 

另 一 种 人 侵 者 是 那些 利用 网 络 漏洞 破坏 网 络 的 人 。 他 们 往往 做 一 些 重复 的 工作 (如 
用 暴力 法 破解 口令 ) ,他 们 也 具备 广泛 的 计算 机 知识 ,但 与 黑客 不 同 的 是 他 们 以 破坏 为 目 
的 。 这 些 群 体 称 为 “ 骇 客 ”。 当 然 还 有 一 种 人 兼 于 黑客 与 人 侵 者 之 间 。 本 书 中 的 黑客 指 的 
是 骇 客 。 
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黑客 通常 利用 病毒 将 恶意 代码 写 入 公司 内 部 网 。 从 这 一 点 看 来 ,病毒 编写 人 员 和 黑 
客 之 间 的 关系 似乎 越 来 越 密切 ,而 这 种 关系 在 几 年 以 前 是 根本 不 可 能 的 事情 。 


5. 计算 机 网 络 病毒 的 防治 方法 

计算 机 网 络 中 最 主要 的 软 硬 件 实体 就 是 服务 器 和 工作 站 ,所 以 防治 计算 机 网 络 病毒 
应 该 首先 考虑 这 两 个 部 分 ,另外 加 强 综合 治理 也 很 重要 。 

(1) 基于 工作 站 的 防治 技术 

工作 站 就 像 计算 机 网 络 的 大 门 .只 有 把 好 这 道 大 门 ,才能 有 效 防 止 病毒 的 侵入 。 工 作 
站 防治 病毒 的 方法 有 三 种 。 一 是 软件 防治 , 即 定期 不 定期 地 用 反 病毒 软件 检测 工作 站 的 
病毒 感染 情况 。 软 件 防治 可 以 不 断 提 高 防治 能 力 , 但 需 人 为 地 经 常 去 启动 软盘 防 病毒 软 
件 , 因 而 不 仅 给 工作 人 员 增 加 了 负担 ,而 且 很 有 可 能 在 病毒 发 作 后 才能 检测 到 。 二 是 在 工 
作 站 上 插 防 病毒 卡 。 防 病毒 卡 可 以 达到 实时 检测 的 目的 ,但 防 病毒 卡 的 升级 不 方便 ,从 实 
际 应 用 的 效果 来 看 ,对 工作 站 的 运行 速度 有 一 定 的 影响 。 三 是 在 网 络 接口 卡 上 安装 防 病 
毒 芯片 。 它 将 工作 站 存 取 控 制 与 病毒 防护 合 二 为 一 ,可 以 更 加 实时 有 效 地 保护 工作 站 及 
通 向 服务 器 的 桥梁 。 但 这 种 方法 同样 也 存在 芯片 上 的 软件 版 本 升级 不 方便 的 问题 ,而 且 
对 网 络 的 传输 速度 也 会 产生 一 定 的 影响 。 这 三 种 方法 都 是 防 病毒 的 有 效 手段 ,应 根据 网 
络 的 规模 ,数据 传输 负荷 等 具体 情况 确定 使 用 哪 一 种 方法 。 

(2) 基于 服务 器 的 防治 技术 

网 络 服 务 器 是 计算 机 网 络 的 中 心 , 是 网 络 的 支柱 。 网 络 瘫痪 的 一 个 重要 标志 就 是 网 
络 服务 器 瘫痪 。 网 络 服务 器 一 旦 被 击 垮 .造成 的 损失 将 是 灾难 性 的 、 难 以 挽回 和 无 法 估量 
的 。 目 前 基于 服务 器 的 防治 病毒 的 方法 大 都 采用 防 病毒 可 装载 模块 (NLM) ,以 提供 实时 
扫描 病毒 的 能 力 。 有 时 也 结合 在 服务 器 上 插 防 毒 卡 等 技术 ,目的 在 于 保护 服务 器 不 受 病 
毒 的 攻击 ,从 而 切断 病毒 进一步 传播 的 途径 。 

(3) 加 强 计算 机 网 络 的 管理 

计算 机 网 络 病毒 的 防治 单纯 依靠 技术 手段 是 不 可 能 十 分 有 效 地 杜绝 和 防止 其 蔓延 
的 ,只 有 把 技术 手段 和 管理 机 制 紧密 结合 起 来 ,提高 人 们 的 防范 意识 , 才 有 可 能 从 根本 上 
保护 网 络 系统 的 安全 运行 。 目 前 在 网 络 病毒 防治 技术 方面 ,基本 处 于 被 动 防御 的 地 位 ,但 
管理 上 应 该 积极 主动 。 首 先 应 在 硬件 设备 及 软件 系统 的 使 用 .维护 、 管 理 、. 服 务 等 各 个 环 
节制 定 出 严格 的 规章 制度 ,对 网 络 系统 的 管理 员 及 用 户 加 强 法 制 教育 和 职业 道德 教育 , 规 
范 工作 程序 和 操作 规程 ,严惩 从 事 非 法 活动 的 集体 和 个 人 。 其 次 ,应 有 专人 负责 具体 事 
务 , 及 时 检查 系统 中 出 现 病毒 的 症状 ,汇报 出 现 的 新 问题 新 情况 ,在 网 络 工 作 站 上 经 常 做 
好 病毒 检测 的 工作 ,把 好 网 络 的 第 一 道 大 门 。 

除了 在 服务 器 主机 上 采用 防 病 毒手 段 外 ,还 要 定期 用 查 毒 软件 检查 服务 器 的 病毒 情 
况 。 最 重要 的 是 ,应 制定 严格 的 管理 制度 和 网 络 使 用 制度 ,提高 自身 的 防毒 意识 ;应 跟踪 
网 络 病毒 防治 技术 的 发 展 , 尽 可 能 采用 行 之 有 效 的 新 技术 、 新 手段 ,建立 “ 防 杀 结合 以 防 
为 主 \, 以 杀 为 辅 软 硬 互补 ,标本 兼治 ”的 最 佳 网 络 病 毒 安全 模式 。 


6. 常见 杀毒 软件 介绍 
由 国外 开发 的 常见 的 杀毒 软件 有 下 面 的 几 种 。 


se 


(1) BitDefender 

BitDefender 杀毒 软件 是 来 自 罗 马 尼 亚 的 老牌 杀毒 软件 ,其 24 万 超大 病毒 库 将 为 计 
算 机 提供 最 大 的 保护 ,具有 功能 强大 的 反 病 毒 引擎 以 及 互联 网 过 滤 技 术 ,提供 即时 信息 保 
护 功 能 。 通 过 回答 几 个 简单 的 问题 ,就 可 以 方便 地 进行 安装 ,并 且 支 持 在 线 升级 。 

BitDefender 包括 : 永久 的 防 病毒 保护 ;后 台 扫描 与 网 络 防火 墙 ;保密 控制 ;自动 快速 
升级 模块 ;创建 计划 任务 ;病毒 隔离 区 。 

(2) Kaspersky 

Kaspersky( 卡 巴 斯 基 ) 杀 毒 软件 来 源 于 俄罗斯 ,是 世界 上 优秀 、 顶 级 的 网 络 杀毒 软件 ， 
查 杀 病毒 的 性 能 远 高 于 同类 产品 。 卡 巴 斯 基 杀毒 软件 具有 超 强 的 中 心 管理 和 杀毒 能 力 ， 
能 真正 实现 带 毒 杀毒 ,提供 了 一 个 广泛 的 抗 病毒 解决 方案 。 它 提供 了 所 有 类 型 的 抗 病毒 
防护 ,如 抗 病 毒 扫描 仪 监控 器 ,行为 阻 断 , 完 全 检验 、E-mail 通路 和 防火 墙 。 

Kaspersky 支持 几乎 所 有 的 普通 操作 系统 。 卡 巴 斯 基 控制 所 有 可 能 的 病毒 进入 端 
口 , 它 强大 的 功能 和 局 部 灵活 性 以 及 网 络 管理 工具 为 自动 信息 搜索 .中央 安 装 和 病毒 防护 
控制 提供 最 大 的 便利 和 最 少 的 时 间 来 构建 抗 病毒 隔离 墙 。 卡 巴 斯 基 防 病毒 软件 有 许多 国 
际 研究 机 构 .中 立 测 试 实验 室 和 IT 出 版 机 构 的 证 书 , 确 认 了 卡巴 斯 基 具 有 汇集 行业 最 高 
水 准 的 突出 品质 。 

(3) PC-cillin 

趋势 科技 网 络 安全 个 人 版 集成 了 包括 个 人 防火 墙 \ 防 病毒 、 防 垃圾 邮件 等 功能 于 一 
体 ,最 大 限度 地 提供 对 台式 机 的 保护 ,并 不 需要 用 户 进行 过 多 的 操作 。 在 用 户 日 常 使 用 及 
上 网 浏览 时 ,进行 实时 的 安全 防御 监控 ; 

内 置 的 防火 墙 不 仅 更 方便 用 户 使 用 因地制宜 的 设 定 ,专业 主 控 式 个 人 防火 墙 及 木马 
程序 损害 清除 还 原 技术 的 双重 保障 还 可 以 拒绝 各 类 黑客 程序 对 计算 机 的 访问 请 求 :趋势 
科技 全 新 研发 的 病毒 阻隔 技术 ,包含 主动 式 防 毒 应 变 系 统 以 及 病毒 扫描 逻辑 分 析 技术 ,不 
仅 能 够 精准 侦 测 病毒 藏匿 与 化 身 并 予以 彻底 清除 ,还 能 针对 特定 变种 病毒 进行 封锁 与 阻 
隔 , 让 病毒 再 无 可 乘 之 机 ; 强 有 力 的 垃圾 邮件 过 滤 功 能 可 全 面 封锁 不 请 自 来 的 垃圾 邮件 。 

趋势 科技 网 络 安全 个 人 版 的 诸多 功能 可 确保 计算 机 系统 运行 正常 ,从 此 摆脱 病毒 感 
染 的 恶 梦 。 

(4) ESET NOD32 

ESET 于 1992 年 建立 ,是 一 个 全 球 性 的 安全 防范 软件 公司 ,主要 为 企业 和 个 人 消费 
者 提供 服务 。 其 得 奖 之 旗舰 产品 NOD32 能 针对 已 知 及 未 知 的 病毒 .间谍 软件 (Spyware) 
及 其 他 对 用 户 的 系统 带 来 威胁 的 程式 进行 实时 的 保护 。NOD32 以 其 占用 最 少 的 系统 资 
源 及 最 快 的 侦 测速 度 , 向 用 户 提供 最 好 的 保护 ,并 且 较 其 他 防 病毒 软件 获得 更 多 的 Virus 
Bulletin (www. virusbulletin. com) 。 这 个 软件 的 各 方面 都 有 其 独到 之 处 ,目前 在 国内 有 
一 定 影响 ,各 大 论坛 都 在 讨论 。NOD32 的 病毒 防范 能 力 确实 很 强 ,而 且 占 用 的 系统 资源 
很 少 , 查 杀 速度 很 快 。 其 缺点 是 对 于 流氓 软件 及 国内 木马 病毒 的 防范 效果 一 般 , 所 以 要 配 
合 一 款 防 火 墙 一 起 使 用 (推荐 用 国产 的 防火 墙 ) 。 另 外 2. 5 版 的 IMON 兼容 性 较 差 ,如 果 
使 用 时 发 现 问题 ,可 以 关闭 这 个 功能 。 
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(5) Norton AntiVirus 

Norton AntiVirus 是 一 套 强 而 有 力 的 防毒 软件 , 它 可 侦 测 上 万 种 已 知 和 未 知 的 病毒 ， 
并 且 每 次 开机 时 ,自动 防护 便 会 常 驻 在 System Tray, 在 磁盘 、 网 络 、E-mail 文件 夹 中 开启 
档案 时 会 自动 侦 测 档案 的 安全 性 ,车 档案 内 含 病毒 , 便 会 立即 警告 ,并 做 适当 的 处 理 。 另 
外 它 还 附 有 LiveUpdate 的 功能 ,可 自动 连接 Symantec 的 FTP Server 下 载 最 新 的 病毒 
码 , 下 载 完 后 自动 完成 安装 更 新 的 操作 。 

(6) McAfee 

McAfee 防毒 软件 是 全 球 最 畅销 的 杀毒 软件 之 一 ,除了 操作 界面 的 更 新 外 ,也 将 该 公 
司 的 WebScanX 功能 结合 在 一 起 ,增加 了 许多 新 功能 。 除 了 侦 测 和 清除 病毒 , 它 还 具有 
VShield 自动 监视 系统 ,会 常 驻 在 System Tray, 在 磁盘 、 网 络 、E-mail 文件 夹 中 开启 文件 
时 会 自动 侦 测 文件 的 安全 性 ,车 文件 内 含 病毒 , 便 会 立即 警告 ,并 做 适当 的 处 理 , 而 且 支 持 
鼠标 右键 的 快捷 菜单 功能 ,并 可 使 用 密码 将 个 人 的 设 定 锁 住 ,让 别人 无 法 乱 改 设 定 。 

McAfee 的 杀毒 能 力 较 Kaspersky 稍 差 , 但 资源 占用 小 ,启动 速度 快 ,系统 监控 能 力 
强 , 对 于 恶意 代码 的 防护 能 力 非常 好 。 

注意 : McAfee 缓冲 区 溢出 保护 与 金山 词霸 的 屏幕 取 词 功能 有 冲突 。 解 决 方法 : 
四 关闭 McAfee 缓冲 区 溢出 保护 功能 。 回 在 VirusScan 控制 台 的 缓冲 区 溢出 保护 属性 中 
设置 缓冲 区 溢出 排除 金山 词霸 。 

由 国内 开发 的 常见 的 杀毒 软件 有 以 下 几 种 : 

。 人 金山 毒霸 

。 江 民 杀毒 软件 

。 瑞星 杀毒 软件 

。 东方 卫士 V3 

。 北 信 源 VRV 

。 冠 群 金 展 KILL 

。 河南 瑰 能 AV95 
上 海 创 源 安全 之 星 
7.7.2 计算 机 病毒 与 黑客 攻击 

黑客 攻击 是 最 令 广大 用 户头 痛 的 事情 . 它 是 计算 机 网 络 安全 的 主要 威胁 。 下 面 着 重 
分 析 黑 客 进行 网 络 攻击 的 几 种 常见 手法 及 其 防范 措施 。 


1. 拒绝 服务 攻击 

拒绝 服务 (Denial of Service,DoS) 攻 击 的 目的 是 使 计算 机 或 网 络 无 法 提供 正常 的 服 
务 ,DoS 的 攻击 行为 被 称 为 DoS 攻击 。 

最 常见 的 DoS 攻击 有 计算 机 网 络 带宽 攻击 和 连通 性 攻击 。 带 宽 攻 击 指 以 极 大 的 通 
信 量 冲击 网 络 ,使 得 所 有 可 用 的 网 络 资源 都 被 消耗 掉 , 最 后 导致 合法 的 用 户 请 求 无 法 通 
过 。 连 通 性 攻击 指 用 大 量 的 连接 请 求 冲击 计算 机 ,使 得 所 有 可 用 的 操作 系统 资源 都 被 消 
耗 掉 , 最 终 计算 机 无 法 再 处 理 合 法 用 户 的 请 求 。 

分 布 式 拒绝 服务 (Distributed Denial of Service,DDoS) 攻 击 指 借助 于 客户 /服务 器 技 
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术 ,将 多 个 计算 机 联合 起 来 作为 攻击 平台 ,对 一 个 或 多 个 目标 发 动 DoS 攻击 ,从 而 成 倍 地 
提高 拒绝 服务 攻击 的 威力 。 通 常 :攻击 者 使 用 一 个 偷窃 账号 将 DDoS 主 控 程 序 安装 在 一 
个 计算 机 上 ,在 设 定 的 时 间 主 控 程 序 将 与 大 量 代理 程序 通信 ,代理 程序 已 经 被 安装 在 
Internet 上 的 许多 计算 机 上 ,代理 程序 收 到 指令 时 就 发 动 攻击 。 利 用 客户 /服务 器 技术 ， 
主 控 程 序 能 在 几 秒 钟 内 激活 成 百 上 二 次 代理 程序 的 运行 。 

到 目前 为 止 ,进行 DDoS 攻击 的 防御 还 是 比较 困难 的 。 首 先 , 这 种 攻击 的 特点 是 它 利 
用 TCP/IP 协议 的 漏洞 ,除非 不 用 TCP/IP, 才 有 可 能 完全 抵御 住 DDoS 攻击 。 一 位 资深 
的 安全 专家 做 了 一 个 形象 的 比喻 ,DDoS 就 好 像 有 1000 个 人 同时 给 你 家 里 打 电 话 , 这 时 
候 你 的 朋友 还 打 得 进来 吗 ? 

即使 它 难以 防范 ,现在 还 是 有 一 些 应 对 的 措施 足以 降低 这 种 攻击 。 通 常 可 以 在 服务 
主机 和 通信 设备 上 来 防范 。 几 乎 所 有 的 主机 平台 都 有 抵御 DoS 的 设置 ,在 主机 上 可 以 进 
行 下 面 的 设置 : 

Q@ 关闭 不 必要 的 服务 。 

@ 限制 同时 打开 的 Syn 半 连 接 数 目 ,缩短 Syn 半 连 接 的 time out 时 间 。 

@ 及 时 更 新 系统 补丁 。 

同时 在 企业 出 口 的 防火 墙 上 进行 以 下 设置 : 

Q@ 禁止 对 主机 的 非 开放 服务 访问 。 

@ 限制 同时 打开 的 Syn 最 大 连接 数 。 

@ 限制 特定 IP 地 址 的 访问 。 

@ 启用 防火 墙 的 防 DDoS 的 功能 。 

@ 严格 限制 对 外 开放 的 服务 器 的 向 外 访问 ,主要 用 于 防止 自己 的 服务 器 被 当 作 工 具 
去 害 人 。 

在 路 由 器 上 做 如 下 设置 来 提高 安全 ， 

GD CISCO Express Forwarding(CEF) 。 

@ 使 用 Unicast reverse-path。 

@ 访问 控制 列表 (ACL) 过 滤 。 

@ 设置 Syn 数据 包 流 量 速率 。 

@ 升级 版 本 过 低 的 ISO。 

其 中 使 用 CEF 和 Unicast 设置 时 要 特别 注意 ,使 用 不 当 会 造成 路 由 器 的 工作 效率 严 
重 下 降 , 升 级 IOS 时 也 应 谨慎 。 路 由 器 是 网 络 的 核心 设备 ,在 对 路 由 器 进行 修改 后 ,一 般 
不 要 保存 ,等 路 由 器 运行 四 五 天 后 ,如果 没 出 现 问题 ,再 保存 配置 。 修 改 时 直接 影响 的 是 
running config ,而 保存 后 将 影响 startup config, 如 果 觉 得 不 满意 ,执行 copy start run 命 
令 恢 复原 来 的 配置 即 可 。 


2. 利用 网 络 系统 漏洞 进行 攻击 

许多 网 络 系统 都 存在 着 这 样 那样 的 漏洞 ,这 些 漏洞 有 可 能 是 系统 本 身 所 有 的 ,如 
Windows NT UNIX 等 都 有 数量 不 等 的 漏洞 :也 有 可 能 是 由 于 网 管 的 疏忽 而 造成 的 。 黑 
客 利用 这 些 漏 洞 就 能 完成 密码 探测 、 系 统 入 侵 等 攻击 。 

对 于 系统 本 身 的 漏洞 ,可 以 安装 软件 补丁 。 另 外 网 管 人 员 也 需要 认真 部 署 有 关 安 全 
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的 工作 ,尽量 避免 因 玻 忽而 使 他 人 有 机 可 乘 。 
3. 通过 电子 邮件 进行 攻击 


电子 邮件 是 互联 网 上 运用 得 十 分 广泛 的 一 种 通信 方式 。 黑 客 可 以 使 用 一 些 邮件 炸弹 
软件 或 CGI 程序 向 目的 邮箱 发 送 大 量 内 容重 复 、 无 用 的 垃圾 邮件 ,从 而 使 目的 邮箱 被 撑 
爆 而 无 法 使 用 。 当 垃圾 邮件 的 发 送 流量 特别 大 时 ,还 有 可 能 造成 邮件 系统 对 于 正常 的 工 
作 反应 缓慢 ,甚至 瘫 将 。 这 一 点 和 前 面 提 及 的 拒绝 服务 攻击 比较 相似 。 

对 于 遭受 此 类 攻击 的 邮箱 ,可 以 使 用 一 些 垃 圾 邮件 清除 软件 来 解决 ,其 中 常见 的 有 
SpamEater,Spamkiller 等 ,Outlook 等 接收 邮件 软件 同样 也 能 达到 此 目的 。 如 果 邮 件 用 
户 非常 多 ,或 者 收 到 的 垃圾 邮件 过 多 , 则 可 以 考虑 安装 硬件 的 反 垃 圾 邮件 过 滤 网 关 。 


4. 解密 攻击 

在 互联 网 上 ,使 用 密码 是 最 常见 并 且 最 重要 的 安全 保护 方法 ,用 户 时 时 刻 刻 都 需要 输 
入 密码 进行 身份 校 验 。 现 在 的 密码 保护 手段 大 都 只 认 密 码 不 认 人 ,只 要 有 密码 ,系统 就 会 
认为 你 是 经 过 授权 的 正常 用 户 , 因 此 ,取得 密码 也 是 黑客 进行 攻击 的 一 种 重要 手段 。 取 得 
密码 有 好 几 种 方法 ,一 种 是 对 网 络 上 的 数据 进行 监听 。 因 为 系统 在 进行 密码 校 验 时 ,用 户 
输入 的 密码 需要 从 用 户 端 传送 到 服务 器 端 ,而 黑客 能 在 两 端 之 间 进行 数据 监听 。 但 一 般 
系统 在 传送 密码 时 都 进行 了 加 密 处 理 , 即 黑客 所 得 到 的 数据 中 不 会 存在 明文 的 密码 ,这 给 
黑客 进行 破解 又 提出 了 一 道 难题 。 这 种 手法 一 般 应 用 于 局 域 网 ,一 旦 成 功 ,攻击 者 将 会 得 
到 很 大 的 操作 权限 。 另 一 种 解密 方法 就 是 使 用 穷 举 法 对 已 知 用 户 名 的 密码 进行 暴力 解 
密 。 这 种 解密 软件 会 尝试 所 有 可 能 字符 所 组 成 的 密码 ,但 这 项 工作 十 分 费时 ,不 过 如 果 用 
户 的 密码 设置 得 比较 简单 ,如 12345、ABC 等 则 有 可 能 只 需 一 瞬 眼 的 工夫 即 可 搞定 。 

为 了 防止 受到 这 种 攻击 的 危害 ,用 户 在 进行 密码 设置 时 一 定 要 将 其 设置 得 很 复杂 ,也 
可 使 用 多 层 密码 或 者 变换 思路 使 用 中 文 密码 ,并 且 不 要 以 自己 的 生日 和 电话 甚至 用 户 名 
作为 密码 。 因 为 一 些 密码 破解 软件 可 以 让 破解 者 输入 与 被 破解 用 户 相 关 的 信息 如 生日 
等 ,然后 对 这 些 数据 构成 的 密码 进行 优先 尝试 。 另 外 应 该 经 常 更 换 密码 ,这 样 可 使 其 被 破 
解 的 可 能 性 下 降 不 少 。 


5. 后 门 软件 攻击 

后 门 软件 攻击 是 互联 网 上 比较 常见 的 一 种 攻击 手法 。Back Orifice 2000、 冰 河 等 都 是 
比较 著名 的 特洛伊 木马 ,它们 可 以 非法 地 取得 用 户 计算 机 的 超级 用 户 级 权限 ,可 以 对 其 进 
行 完全 的 控制 ,除了 可 以 进行 文件 操作 外 ,也 可 以 进行 对 方 桌面 抓 图 .取得 密码 等 操作 。 
这 些 后 门 软件 分 为 服务 器 端 和 用 户 端 。 当 黑客 进行 攻击 时 ,会 使 用 用 户 端 程序 登录 已 安 
装 好 服务 器 端 程序 的 计算 机 ,这 些 服务 器 端 程序 都 比较 小 ,一 般 会 附带 在 某 些 软件 上 。 有 
可 能 在 用 户 下 载 了 一 个 小 游戏 并 运行 时 ,后 门 软件 的 服务 器 端 就 安装 完成 ,而 且 大 部 分 后 
门 软件 的 重生 能 力 比较 强 ,会 给 用 户 进行 清除 造成 一 定 的 麻烦 。 

在 网 上 下 载 数据 时 ,一定 要 在 其 运行 之 前 进行 病毒 扫描 ,并 使 用 一 定 的 反 编 译 软件 ， 
查看 来 源 数据 是 否 有 其 他 可 疑 的 应 用 程序 ,从 而 杜绝 这 些 后 门 软件 。 


7.8 思考 和 练习 


1. 谈 谈 从 用 户 账号 、 安 全 策略 等 方面 如 何 加 强 Windows Server 2003 的 安全 ? 

2. 如 何 加 强 Web 服务 器 .FTP 服务 器 和 E-mail 服务 器 的 安全 ? 

3. 如 何 采 用 路 由 器 与 三 层 交换 机 的 访问 控制 技术 来 加 强 网 络 安全 ? 

4. 防火 墙 的 基本 功能 是 什么 ? 防火 墙 是 如 何 分 类 的 ? 它 有 哪些 部 署 模 式 ? 有 什么 
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. 什么 是 计算 机 病毒 ? 它 有 什么 特点 ?如 何 防 范 计算 机 病毒 ? 
.常见 的 攻击 有 哪些 ?如 何 防范 ? 


7.9 实 训 练习 


实 训练 习 1: Windows Server 2003 中 用 户 安全 管理 练习 

1. 账号 的 建立 

在 Windows Server 2003 中 建立 账号 时 , 需 考 虑 相关 的 安全 因素 ,比如 账号 密码 、 本 
地 策略 等 。 下 面 以 建立 一 个 用 户 账号 yt_huang 的 过 程 来 说 明 其 中 需要 注意 的 细节 。 

通过 “计算 机 管理 ”窗口 中 的 “本 地 用 户 和 组 ”工具 建立 新 账号 。 在 设置 账号 密码 时 ， 
注意 尽量 设置 具有 一 定 复杂 度 的 密码 ,比如 密码 中 同时 包含 数字 、 字 母 和 特殊 字符 等 。 

2. 账号 的 安全 管理 

为 了 增强 账号 的 安全 性 ,可 以 通过 以 下 手段 来 提高 账号 的 安全 性 ,防止 账号 丢失 之 后 
带 来 的 损失 。 

通过 启用 “密码 策略 "来 提高 账号 的 安全 ,比如 限定 密码 的 长 度 、 适 当 加 长 密码 的 长 
度 , 可 增 大 破解 的 难度 ; 设 定 密 码 的 最 长 使 用 期 限 ,使 用 户 定期 修改 密码 ,防止 密码 丢失 带 
来 的 损失 等 。 

(1) 制定 本 地 策略 。 设 置 账户 锁定 阔 值 ,防止 非法 用 户 破解 , 当 用 户 输入 账号 错误 达 
到 一 定 次 数 时 ,将 把 账号 锁定 ,超过 账号 锁定 时 间 后 , 才 可 以 重新 尝试 登录 。 

(2) 制定 审核 策略 。 通 过 制定 审核 策略 ,对 用 户 登 录 进 行 审核 。 

(3) 在 Windows Server 2003 中 ,Guest 账号 默认 是 禁用 的 ,Guest 账号 经 常 被 利用 ， 
为 攻击 者 带 来 方便 ,所 以 ,一 般 要 禁止 该 账号 的 使 用 。 

(4) 修改 Administrator。 很 多 攻击 者 会 使 用 一 些 专用 工具 来 扫描 用 户 名 称 为 
Administrator 的 账号 ,该 账号 不 可 以 被 删除 ,但 可 以 通过 修改 该 账号 的 名 称 来 提高 该 账 
号 的 安全 性 。 

(5) 采用 组 管理 模式 。 当 用 户 数量 非常 庞大 时 ,账号 管理 是 一 件 非 常 重要 的 工作 。 
采用 用 户 组 的 方式 来 管理 账号 将 更 方便 ,同时 在 授权 和 管理 方面 将 更 全 面 和 完善 ,防止 在 
制定 某 些 规 则 时 出 现 遗 漏 。 

同时 ,从 系统 平台 考虑 加 强 安 全 ,可 采用 以 下 的 方法 。 


(1) 启用 审计 功能 。 启 用 日 志 审 计 功 能 是 非常 必要 的 ,可 以 记录 攻击 者 的 人 侵 企图 ， 
便于 管理 员 跟 踪 追 查 。 在 Windows Server 2003 下 ,通过 单 击 “管理 工具 ”一 “ 本 地 安全 策 
略 ” 一 “本 地 策略 -审核 策略 ”命令 ,可 对 登录 事件 进行 审核 。 

(2) 安装 防 病毒 软件 。 

(3) 安装 最 新 的 Service Pack 。 


实 训 练习 2: IIS 中 对 Web 服务 器 的 安全 防范 管理 练习 

为 了 提高 IIS 的 安全 ,通常 可 以 从 以 下 几 个 方面 来 对 站 点 加 强 管 理 。 

(1) 修改 网 站 的 默认 服务 端口 80 为 其 他 端口 。 默 认 情况 下 ,一 个 Web 站 点 在 80 端 
口 提 供 服务 ,但 如 果 该 Web 站 点 不 是 公开 访问 , 则 可 以 修改 该 站 点 的 服务 端口 ,比如 把 
80 修改 为 8056 。 当 用 户 访问 该 站 点 时 需要 在 URL 地 址 后 面 添加 对 应 的 端口 号 ,这 样 可 
避免 没有 授权 的 用 户 访问 。 

(2) 安全 访问 。 为 防止 用 户 访问 网 站 时 传递 的 信息 被 算 改 ,可 以 建立 加 密 的 访问 
方式 。 

(3) 禁止 匿名 访问 。 当 用 户 访问 时 ,必须 输入 用 户 账号 ,这 样 只 有 持 有 账号 的 用 户 才 
可 以 访问 。 

(4) IP 地 址 限制 。 指 定 访问 该 Web 站 点 的 IP 地 址 范围 ,限制 访问 者 来 源 。 

(5) 权限 限制 。 很 多 Web 站 点 提供 了 发 布 信 息 的 功能 ,可 以 设 定 只 有 某 些 用 户 具 备 
该 权限 ,限制 用 户 提交 信息 的 权限 。 

(6) IIS 日志。 记录 用 户 访问 Web 的 日 志 , 通 过 日 志 来 分 析 用 户 访 问 的 来 源 和 访问 
的 页 面 , 对 用 户 访问 链接 页 面 进行 分 析 。 

(7) 修改 Web 站 点 的 默认 目录 ,防止 非法 用 户 尝试 破解 ,并 尽量 采用 虚拟 目录 的 方 
式 来 加 强 网 站 安全 。 

(8) Web 程序 方面 的 开发 。 在 Web 程序 开发 方面 ,避免 出 现代 码 漏洞 ,防止 攻击 者 
利用 代码 漏洞 对 网 站 进行 攻击 。 

(9) 启用 Windows 自 带 的 防火 墙 ,只 保留 有 用 的 端口 ,比如 远程 和 Web,FTP(3389， 
80,21) 等 ,有 邮件 服务 器 的 还 要 打开 25 和 130 端口 。 


实 训 练习 3: 卡巴 斯 基 反 病毒 软件 (网 络 版 ) 应 用 练习 

1. 卡巴 斯 基 反 病毒 软件 的 安装 

在 Windows XP 或 Windows Server 2003 系统 下 安装 卡巴 斯 基 反 病毒 软件 的 过 程 基 
本 相同 ,但 在 Windows XP 下 需要 安装 工作 站 版 本 ,而 在 Windows Server 2003 下 应 该 安 
装 服务 器 版 本 ,如 图 7-46 所 示 。 

2. 卡巴 斯 基 反 病毒 软件 的 基本 操作 

(1) 软件 升级 

由 于 每 天 都 会 产生 新 的 病毒 和 危险 程序 ,所 以 对 计算 机 上 的 病毒 库 需 要 经 常 更 新 ,以 
杀 除 新 的 病毒 。 要 更 新 病毒 库 , 可 单 击 “ 服 务 ” 选 项 区 域 中 的 “更 新 ”选项 中 的 “立即 更 新 ” 
按钮 ,对 卡巴 斯 基 病 毒 库 进行 更 新 (如 图 7-47 和 图 7-48 所 示 )。 
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图 7-47 卡巴 斯 基 反 病毒 软件 的 升级 
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图 7-48 更 新 完 


在 “更 新 ”选项 区 域 中 , 单 击 “运行 模式 ”命令 可 以 设置 病毒 库 更 新 的 模式 。 这 里 设置 
的 是 每 隔 两 个 小 时 更 新 一 次 ,根据 需要 ,可 修改 为 自动 或 手动 模式 (如 图 7-49 所 示 )。 在 
“更 新 设置 ”中 ,可 设置 更 新 源 , 即 设置 卡巴 斯 基 反 病毒 软件 连接 到 哪里 进行 更 新 (如 
图 7-50 所 示 )。 如 果 在 局 域 网 环境 中 或 者 不 可 直接 连接 至 外 网 的 环境 下 ,可 连接 至 卡巴 
斯 基 管 理 控制 台 更 新 ,否则 可 直接 连接 至 卡巴 斯 基 实 验 室 更 新 服务 器 进行 更 新 。 


陶 设 置 : 卡巴 斯 基 反 病毒 
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图 7-50 更 新 源 的 设置 


(2) 报告 .隔离 和 备份 
卡巴 斯 基 在 处 理 被 感染 的 文件 之 前 会 将 它 添加 到 备份 文件 夹 中 ,可 疑 文件 则 添加 到 
隔离 文件 夹 中 ,报告 中 记录 了 所 有 的 事件 (如 图 7-51 所 示 )。 
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图 7-51 卡巴 斯 基 反 病毒 软件 提供 的 报告 功能 


(3) 扫描 区 域 

通过 对 扫描 进行 设置 ,可 对 不 同 的 区 域 进行 病毒 扫描 。 卡 巴 斯 基 反 病 毒 软 件 主要 把 
扫描 区 域 分 成 3 类 : 关键 区 域 . 我 的 电脑 和 启动 对 
象 。 在 对 某 个 区 域 进行 扫描 时 ,还 可 对 该 扫描 区 域 进 
行 调整 。 通 过 单 击 “ 扫 描 " 按 钮 ,可 以 对 扫描 的 具体 动 
作 进行 设置 。 比 如 可 以 设置 扫描 的 文件 类 型 .是 否 执 
行 增 量 扫描 以 及 是 否 进行 复合 文件 扫描 等 ,并 可 以 对 
不 同 的 扫描 区 域 制 定 相 应 的 扫描 计划 (如 图 7-52 
所 示 ) 。 

(4) 保护 功能 

在 保护 功能 模块 中 ,提供 了 文件 保护 .邮件 保护 、 
Web 反 病 毒 保护 和 主动 防御 、 反 黑客 和 反 垃 圾 邮件 图 7-52 对 扫描 区 域 制订 计划 
等 功能 。 保 护 功能 是 保护 用 户 计 算 机 远离 病毒 .间谍 
软件 .黑客 攻击 等 安全 威胁 的 一 整套 保护 措施 。 

3. 管理 工具 

网 络 版 的 卡巴 斯 基 反 病毒 软件 提供 了 统一 管理 的 思想 。 部 署 时 ,在 一 台 服 务 器 上 需 
要 安装 一 个 管理 端 , 在 位 于 不 同 子 网 的 服务 器 上 需要 安装 服务 器 版 本 的 反 病 毒 软件 和 网 
络 代理 ,在 工作 站 上 需要 安装 工作 站 版 本 的 反 病毒 软件 和 网 络 代理 ,其 中 网 络 代理 主要 用 
于 在 管理 端 和 客户 端 之 间 进行 通信 。 在 管理 端 .管理 员 可 以 对 整个 局 域 网 内 的 主机 进行 
统一 控制 ,比如 统一 导入 key 文件 统一 为 客户 端 升级 和 制定 其 他 的 策略 和 任务 。 在 一 台 
控制 端 服务 器 上 即 可 对 整个 网 络 进 行 监控 ,非常 方便 快捷 。 

管理 端 界面 如 图 7-53 所 示 。 
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图 7-53 卡巴 斯 基 反 病 毒 软件 的 管理 工具 


实 训练 习 4( 选 做 ) : 利用 SSL 加 密 HTTP 通道 从 而 加 强 IIS 安全 的 方法 
默认 情况 下 所 使 用 的 HTTP 协议 是 没有 任何 加 密 措 施 的 ,所 有 的 消息 全 部 都 是 以 明 
文 形式 在 网 络 上 传送 ,恶意 的 攻击 者 可 以 通过 安装 监听 程序 来 获得 计算 机 和 服务 器 之 间 
的 通信 内 容 。 
IIS 的 身份 认证 除了 匿名 访问 、 基 本 验证 和 Windows NT 请 求 /响应 方式 外 ,还 有 一 
种 安全 性 更 高 的 认证 ,就 是 通过 SSL(Security Socket Layer, 加 密 套 接 字 协 议 层 ) 安 全 机 
制 使 用 数字 证 书 。SSL 位 于 HTTP 层 和 TCP 层 之 间 , 用 于 建立 用 户 与 服务 器 之 间 的 加 
密 通信 ,确保 所 传递 信息 的 安全 性 。SSL 工作 在 公共 密 钥 和 私人 密 钥 的 基础 上 ,任何 用 
户 都 可 以 获得 公共 密 钥 来 加 密 数据 ,但 解密 数据 必须 要 通过 相应 的 私人 密 钥 。 使 用 SSL 
安全 机 制 时 ,首先 客户 端 与 服务 器 建立 连接 ,服务 器 把 它 的 数字 证 书 与 公共 密 钥 一 并 发 送 
给 客户 端 ,客户 端 随机 生成 会 话 密 钥 ,使 用 从 服务 器 得 到 的 公共 密 钥 对 会 话 密 钥 进行 加 
密 , 并 把 会 话 密 钥 在 网 络 上 传递 给 服务 器 ,而 会 话 密 钥 只 有 在 服务 器 端 用 私人 密 钥 才能 解 
密 , 这 样 客户 端 和 服务 器 端 就 建立 了 一 个 唯一 的 安全 通道 。 
建立 了 SSL 安全 机 制 后 ,只 有 SSL 允许 的 用 户 才能 与 SSL 允许 的 Web 站 点 进行 通 
言 ,并 且 在 使 用 URL 资源 定位 器 时 ,输入 https:// ,而 不 是 http://。 
1. 建立 CA 中 心 
使 用 Open SSL, 让 其 承担 CA 中 心 的 职责 即 生成 数字 证 书 。 这 样 ,CA 的 根 证 书生 
,以 后 所 有 的 证 书 都 要 经 过 根 证 书 的 签名 才 有 效 。 然 后 需要 为 网 站 申请 一 个 服务 器 证 
,为 用 户 申 请 客户 证 书 。 
2. 生成 服务 器 证 书 
(1) 用 IIS WEB SERVER 生成 一 个 证 书 申请 certreq. txt 
打开 IIS WEB SERVER ,在 站 点 属性 对 话 框 的 “目录 安全 性 ?选项 卡 中 单 击 “服务 器 
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证 书 ” 按 钮 创建 一 个 新 证 书 。 现 在 准备 请 求 , 但 稍 候 发 送 。 将 生成 的 证 书 申请 文件 存放 到 
CARoot 目录 中 。 
(2) 生成 经 过 CA 根 证 书签 名 的 服务 器 证 书 


C:\CARoot> ca - in certreq.txt - key Private\ca.key - out newcerts\ServerCert.cer - Policy 
policy anything - config openssl.cnf 

3. 生成 客户 证 书 

(1) 生成 一 个 新 的 RSA 密 钥 对 


C:\CARoot> genrsa - out ClientCert001.key - rand private\ .rnd 2048 
(2) 生成 客户 证 书 


C: \ CRRoot > req -new -x509 -days 3650 -key ClientCert001. key -out ClientCert001. crt 
-config openssl .cnf 


(3) 使 用 CA 根 证 书 来 签名 客户 证 书 


C:\CRRoot> ca -ss_cert ClientCert001.crt -key private\ca.key -config openssl.cnf -policy 
policy anything - out signed ClientCert001.cer。 


生成 的 客户 证 书 为 ClientCert001. crt, 通过 这 种 方式 ,可 以 给 多 个 用 户 和 颁发 个 人 
证 书 。 

4. 导入 证 书 

(1) 安装 信任 的 根 证 书 

根 证 书 为 ca. cer, 在 客户 端的 IE 中 单 击 "工具 ”>“Internet 选项 "命令, 在“ 内容” 选项 
卡 中 单 击 “ 证 书 ” 按 钮 ,在 打开 的 对 话 框 中 单 击 “ 导 入 ”按钮 ,把 生成 的 CA 根 证 书 导入 ,使 
其 成 为 用 户 信任 的 CA。 

(2) 导入 服务 器 证 书 

打开 IIS WEB SERVER ,在 站 点 属性 对 话 框 的 “目录 安全 性 ?选项 卡 中 单 击 “ 服 务 器 
证 书 ” 按 钮 ,在 打开 的 对 话 框 中 处 理 挂 起 并 安装 证 书 ,选择 生成 的 服务 器 证 书 
ServerCert. cer。 

(3) 安装 客户 证 书 

将 客户 证 书 转换 为 pkcs12 格式 的 证 书 , 以 便 导入 到 IE 中 。 


C: \ CARoOt > pkcs12 -export -clcerts -in ClientCert001. crt -inkey ClientCert001. key -out 
client001 .p12 


把 client001. p12 导入 到 客户 端的 IE 中 作为 个 人 证 书 。 

这 样 ,所 有 试图 访问 网 站 的 用 户 都 必须 拥有 签发 的 客户 证 书 , 从 而 杜绝 了 非法 用 户 的 
使 用 。 基 于 SSL, 可 以 开展 各 种 各 样 的 安全 应 用 ,比如 信息 发 布 系统 .企业 内 部 网 .电子 政 
务 等 。 
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